Seguridad y VPN : Remote Authentication Dial-In User Service (RADIUS)

FreeRADIUS utilizó para el acceso administrativo en el ejemplo de la configuración del Cisco IOS

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe cómo configurar la autenticación de RADIUS en el Switches del ® del Cisco IOS con un servidor de RADIUS del otro vendedor (FreeRADIUS). Este ejemplo cubre la colocación de un usuario directamente en el modo del privilegio 15 sobre la autenticación.

Contribuido por Minakshi Kumar, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Asegúrese de que usted haga su switch Cisco definir como cliente en FreeRADIUS con la dirección IP y la misma clave secreta compartida definidas en FreeRADIUS y el Switch.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • FreeRADIUS
  • Versión deL Cisco IOS 12.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Configure un Switch para la autenticación y autorización

  1. Para crear a un usuario local en el Switch con los privilegios completos para el acceso del retraso, ingrese:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. Para habilitar el AAA, ingrese:
    switch(config)# aaa new-model
  3. Para proporcionar el IP Address del servidor de RADIUS así como de la clave, ingrese:
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    Nota: La clave debe hacer juego el secreto compartido configurado en el servidor de RADIUS para el Switch.

  4. Para probar la Disponibilidad del servidor de RADIUS, ingrese el comando aaa de la prueba:
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    La prueba de la autentificación falla con un rechazo del servidor porque todavía no se configura, sino que confirmará que el servidor sí mismo es accesible.
  5. Para configurar las autenticaciones de inicio de sesión para recurrir a los usuarios locales si el RADIO es inalcanzable, ingrese:
    switch(config)#aaa authentication login default group radius local
  6. Para configurar la autorización para un nivel de privilegio de 15, mientras autentiquen a un usuario, ingrese:
    switch(config)#aaa authorization exec default group radius if-authenticated

Configuración de FreeRADIUS

Defina al cliente en el servidor de FreeRADIUS

  1. Para navegar al directorio de configuración, ingrese:
    # cd /etc/freeradius
  2. Para editar el archivo clients.conf, ingrese:
    # sudo nano clients.conf
  3. Para agregar cada dispositivo (router/Switch) identificado por el nombre de host e incluir el secreto compartido correcto, ingrese:
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. Para editar el archivo de usuarios, ingrese:
    # sudo nano users
  5. Agregue a cada usuario permitido acceder el dispositivo. Este ejemplo demuestra cómo fijar un nivel de privilegio del Cisco IOS de 15 para el usuario “Cisco.”
    cisco Cleartext-Password := "password"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"
  6. Para recomenzar FreeRADIUS, ingrese:
    # sudo /etc/init.d/freeradius restart
  7. Para cambiar al grupo de usuario predeterminado en el archivo de usuario para dar a todos los usuarios que sean miembros del Cisco-RW al nivel de privilegio de 15, ingrese:
    DEFAULT Group == cisco-rw, Auth-Type = System
    Service-Type = NAS-Prompt-User,
    cisco-avpair :="shell:priv-lvl=15"
  8. Usted puede agregar a otros usuarios en diversos niveles de privilegio según las necesidades en el archivo de usuarios de FreeRADIUS. Por ejemplo, dan este usuario (vida) un nivel de 3 (mantenimiento del sistema):
    sudo nano/etc/freeradius/users

    life Cleartext-Password := "testing"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

Nota: La configuración en este documento se basa en FreeRADIUS se ejecuta en Ubuntu 12.04 LTE y 13.04.

Verificación

Para verificar la configuración en el Switch, utilice estos comandos:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa (Show the running AAA configuration)
switch# show startup-config Radius (Show the startup AAA configuration in
start-up configuration)

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116291