Безопасность и VPN : Cервис RADIUS

FreeRADIUS, используемый для административного доступа на примере конфигурации Cisco IOS

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить Проверку подлинности RADIUS на коммутаторах Cisco IOS® с сервером RADIUS третьей стороны (FreeRADIUS). Данный пример покрывает размещение пользователя непосредственно в привилегию 15 режимов на аутентификацию.

Внесенный Минэкши Кумаром, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Гарантируйте, что вам определили ваш коммутатор Cisco как клиенту в FreeRADIUS с IP-адресом и тем же общим секретным ключом, определенным на FreeRADIUS и коммутаторе.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • FreeRADIUS
  • Версия Cisco IOS 12.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Настройте коммутатор для проверки подлинности и авторизация

  1. Для создания локального пользователя на коммутаторе с полными полномочиями для доступа нейтрализации войдите:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. Для включения AAA войдите:
    switch(config)# aaa new-model
  3. Для обеспечения IP-адреса сервера RADIUS, а также ключа, войдите:
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    Примечание: Ключ должен совпасть с общим секретным ключом, настроенным на сервере RADIUS для коммутатора.

  4. Для тестирования доступности сервера RADIUS введите команду test aaa:
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    Тестовая аутентификация отказывает с Отклонением от сервера, потому что это еще не настроено, но это подтвердит, что сам сервер достижим.
  5. Для настройки login authentication для переключения на локальных пользователей, если RADIUS недостижим, войдите:
    switch(config)#aaa authentication login default group radius local
  6. Для настройки авторизации для уровня привилегий 15, пока пользователь аутентифицируется, войдите:
    switch(config)#aaa authorization exec default group radius if-authenticated

Конфигурация FreeRADIUS

Определите клиента на сервере FreeRADIUS

  1. Для навигации к каталогу конфигурации войдите:
    # cd /etc/freeradius
  2. Для редактирования clients.conf файла войдите:
    # sudo nano clients.conf
  3. Чтобы добавить каждое устройство (маршрутизатор/коммутатор), определенный именем хоста, и включать корректный общий секретный ключ, войдите:
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. Для редактирования пользовательского файла войдите:
    # sudo nano users
  5. Добавьте, что каждый пользователь позволил обращаться к устройству. Данный пример демонстрирует, как установить уровень привилегий Cisco IOS 15 для пользователя "Cisco".
    cisco Cleartext-Password := "password"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"
  6. Для перезапуска FreeRADIUS войдите:
    # sudo /etc/init.d/freeradius restart
  7. Для изменения группы ПОЛЬЗОВАТЕЛЯ ПО УМОЛЧАНИЮ в файле пользователя, чтобы дать всем пользователям, которые являются участниками cisco-rw уровень привилегий 15, входят:
    DEFAULT Group == cisco-rw, Auth-Type = System
    Service-Type = NAS-Prompt-User,
    cisco-avpair :="shell:priv-lvl=15"
  8. Можно добавить других пользователей в других уровнях привилегий по мере необходимости в пользовательском файле FreeRADIUS. Например, этому пользователю (жизнь) дают уровень 3 (обслуживание системы):
    sudo nano/etc/freeradius/users

    life Cleartext-Password := "testing"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

Примечание: Конфигурация в этом документе основывается на FreeRADIUS, работает на Ubuntu 12.04 LTE и 13.04.

Проверка

Для проверки конфигурации на коммутаторе используйте эти команды:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa (Show the running AAA configuration)
switch# show startup-config Radius (Show the startup AAA configuration in
start-up configuration)

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения



Document ID: 116291