Seguridad y VPN : Remote Authentication Dial-In User Service (RADIUS)

Configuración de la marcación manual RADIUS con la autenticación del servidor Livingston

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento ayuda la primera vez que usuario de RADIUS en cómo configurar y hacer el debug de una configuración de RADIUS del dial-in con la autenticación a un servidor Livingston RADIUS. No es una descripción exhaustiva de las capacidades de RADIUS del software del½ del¿Â del Cisco IOSïÂ. La documentación de Livingston es disponible desde el sitio web de Lucent Technologies. La configuración del router es lo mismo no importa qué el servidor usted utiliza.

Cisco ofrece el código RADIUS en el Cisco Secure ACS for Windows, Cisco UNIX seguro, o el Cisco Access Registrar. La configuración del router en este documento fue desarrollada en un Cisco IOS Software Release 11.3.3 corriente del router. El Cisco IOS Software Release 12.0.5.T y Posterior utiliza el RADIUS de grupo en vez del radio. Por lo tanto, las declaraciones tales como permiso del RADIUS predeterminado de la conexión con el sistema de autenticación aaa aparecen como grupo predeterminado de la conexión con el sistema de autenticación aaa Habilitar Radius. Refiera a la información de RADIUS en la documentación sobre Cisco IOS para los detalles en los comandos router RADIUS.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco IOS Software Release 11.3.3

  • Livingston RADIUS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) para encontrar más información sobre los comandos usados en este documento.

Configuración

Este documento usa esta configuración:

Configuración del router
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Archivo de clientes en el servidor

Nota: Da por sentado el Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Archivo de usuarios en el servidor

Nota: Da por sentado el Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Configuración de Microsoft Windows para las líneas de usuarios 1 y 2

Nota: La Configuración de la PC puede variar basado levemente en la versión del sistema operativo que usted utiliza.

  1. Seleccione el Start (Inicio) > Programs (Programas) > Accesories (Accesorios) > Dial-Up Networking (Interconexión de redes de marcado manual).

  2. Seleccione las conexiones > el Make New Connection y ingrese un nombre para su conexión.

  3. Ingrese su información específica del módem. Bajo la configuración > el general elija la velocidad más alta de su módem, pero no marque el cuadro debajo de esto.

  4. Seleccione la configuración > conexión, y los bits de datos del uso 8, ninguna paridad, y 1 bit de detención. Por preferencias de la llamada, seleccione la espera para el tono de discado antes de marcar, y cancele la llamada si no conectada después de 200 segundos.

  5. Seleccione el estándar solamente del control de flujo de hardware y del tipo de modulación para avanzado.

  6. Bajo la configuración > opciones nada se debe marcar excepto bajo control de estado. Haga clic en OK.

  7. Ingrese el número de teléfono del destino, después haga clic después y acabe.

  8. Una vez que aparece el icono de la nueva conexión, haga clic con el botón derecho del ratón en él y seleccione el Properties (Propiedades) > Server Type (Tipo de servidor).

  9. Elija el PPP: El WINDOWS 95, WINDOWS NT 3.5, Internet y no marca ninguna opciones avanzada. Control por lo menos TCP/IP bajo Network Protocol permitidos.

  10. Elija el IP Address asignado del servidor, el default gateway de los Server Assigned Name Server Address, y del uso en la red remota bajo configuraciones TCP/IP. Haga clic en OK.

  11. Cuando el usuario hace doble clic el icono para sacar a colación la conexión con la ventana para marcar, el usuario debe completar los campos del Nombre de usuario y de contraseña, y después hace clic conecta.

Configuración de Microsoft Windows para la línea de usuario 3

La línea 3 de la Configuración para el usuario (usuario de autenticación con el autocommand PPP) es lo mismo que para la línea de usuarios 1 y 2. La excepción es marcar trae para arriba la ventana de terminal después de marcar de la configuración > de la ventana de opciones.

Cuando usted hace doble clic el icono para sacar a colación la conexión con la ventana para marcar, no complete los campos del Nombre de usuario y de contraseña. Haga clic en Connect (Conectar) Después de que la conexión al router se haga, el ingresar el nombre de usuario y contraseña en la ventana negra que aparece. El tecleo continúa (F7) después de la autenticación.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Comandos de Troubleshooting del router

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • monitor terminal — Visualizaciones resultado del comando de debug y mensajes de error del sistema para el terminal actual y la sesión.

  • negociación ppp del debug — Visualiza los paquetes PPP enviados durante el inicio de PPP, donde se negocian las opciones PPP.

  • paquete ppp del debug — Visualiza los paquetes PPP se envían y se reciben que. (Este comando muestra el vaciado de paquetes de bajo nivel).

  • PPP chap del debug — Visualiza la información sobre si un cliente pasa la autenticación (para las versiones de Cisco IOS Software anterior de 11.2).

  • debug aaa authentication — Muestra información sobre autenticación de AAA/TACACS+.

  • debug aaa authorization — Visualiza la información sobre la autorización AAA/TACACS+.

Servidor

Nota: Esto asume el código del servidor Unix de Livingston.

radiusd -x -d <full_path_to_users_clients_dictionary>

Información Relacionada


Document ID: 8537