Безопасность и VPN : Cервис RADIUS

Настойка удаленного доступа RADIUS при помощи сервера аутентификации Livingston

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ помогает начинающему пользователь RADIUS в том, как установить и отладить Конфигурацию RADIUS наборного (телефонный) доступа с аутентификацией к Серверу Livingston RADIUS. Это не полное описание Cisco Возможности RADIUS программного обеспечения IOS�. Документация по серверу Livingston, имеющаяся от вебсайте Lucent Technologies. Конфигурация маршрутизатора одинаковая независимо от того, какой сервер вы используете.

Cisco предлагает КОД СЕРВЕРА RADIUS в Cisco Secure ACS для Windows, Cisco Secure UNIX или Cisco Access Registrar. Конфигурация маршрутизатора в этом документе была создана на маршрутизаторе работающем на Cisco IOS Software Release 11.3.3. Cisco IOS Software Release 12.0. 5. T и более поздний групповой RADIUS использования вместо радиуса. Поэтому операторы, такие как включение RADIUS aaa authentication login default появляются, поскольку групповой RADIUS aaa authentication login default включает. Обратитесь к Данным RADIUS в документации по Cisco IOS для подробных данных о командах маршрутизатора RADIUS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco IOS Software Release 11.3. 3

  • Livingston RADIUS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Конфигурация

В данном документе используется следующая конфигурация:

Конфигурация маршрутизатора
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Файл клиентов (на сервере)

Примечание: Имеется в виду Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Файл "Users" на сервере

Примечание: Имеется в виду Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Установка Microsoft Windows для каналов пользователя 1 и 2

Примечание: Конфигурация ПК может варьироваться немного основанная на версии операционной системы, которую вы используете.

  1. Выберите Start> Programs> Accessories> Dial-Up Networking.

  2. Выберите Connections> Make New Connection и введите имя для соединения.

  3. Введите информацию по конкретному модему. Под Настраивают> Общий, выбирают самую высокую скорость модема, но не устанавливают флажок ниже этого.

  4. Выберите Configure> Connection и используйте 8 битов данных, никакой паритет и 1 стоповый бит. Для Параметров вызова выберите Wait для тонального сигнала готовности к набору номера перед вызовом номера и Отменой вызов если не связанный после 200 секунд.

  5. Выберите только Аппаратное управление потоками и стандарт Типа модуляции для Усовершенствованного.

  6. Под Настраивают> Опции, кроме которых ничто не должно быть проверено под контролем состояния. Нажмите кнопку ОК.

  7. Впишите номер телефона назначения, после этого щелкните Далее и Готово.

  8. Как только появляется иконка нового соединения, щелкните на нее правой кнопкой мыши и выбираете Properties > Server Type.

  9. Выберите PPP:WINDOWS 95, WINDOWS NT 3.5, Internet и не отмечайте никаких дополнительных свойств. Проверьте, по крайней мере, TCP/IP под позволенными сетевыми протоколами.

  10. Выберите назначенный IP - адрес Server, Назначенные сервером адреса сервера имен и шлюз по умолчанию Использования в удаленной сети при параметрах настройки TCP/IP. Нажмите кнопку ОК.

  11. Когда пользователь дважды нажимает значок для внедрения окна Connect To для вызова номера, пользователь должен заполнить поля User name and Password, и затем нажать Connect.

Установка Microsoft для пользовательского канала 3

Линия конфигурации для пользователя 3 (проверка подлинности пользователя с PPP autocommand) совпадает с для Пользовательской Линии 1 и 2. Исключение должно проверить, Переводят окно терминала в рабочее состояние после вызова номера от Настраивания> Окно свойств.

При двойном нажатии (клавиши) значка для внедрения окна Connect To для вызова номера, не заполняйте поля User name and Password. Нажмите кнопку Connect (Подключить). После того как установиться связь с маршрутизатором, введите имя пользователя и пароль в черное окно которое появется. Нажмите Continue (F7) после аутентификации.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Команды устранения проблем маршрутизатора

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • terminal monitor — отображаются результаты выполнения команды debug и системные сообщения об ошибках для текущего терминала и сеанса.

  • debug ppp negotiation - Показывает пакеты PPP, посланные во время запуска PPP, где обсуждаются опции PPP.

  • пакет debug ppp — Отображает пакеты PPP, которые переданы и получены. Эта команда показывает дампы пакетов нижнего уровня.)

  • debug ppp chap о том, передает ли клиент аутентификацию (для Cisco IOS Software Release ранее, чем 11.2).

  • debug aaa authentication — отображаются сведения при аутентификации AAA/TACACS+.

  • debug aaa authorization — отображаются данные авторизации AAA/TACACS+.

Сервер

Примечание: Это принимает код сервера UNIX Ливингстона.

radiusd -x -d <full_path_to_users_clients_dictionary>

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 8537