Este documento ajuda a primeira vez que usuário RADIUS em como estabelecer e debugar uma configuração RADIUS do discado com autenticação a um servidor RADIUS Livingston. Não é uma descrição exaustiva dos recursos de RADIUS do Cisco IOS ® Software. A documentação livingston está disponível do site do LUCENT TECHNOLOGIES. A configuração de roteador é a mesma não importa o que o server você se usa.
Cisco oferece o código radius no Cisco Secure ACS for Windows, no Cisco UNIX seguro, ou no Cisco Access Registrar. A configuração de roteador neste documento foi desenvolvida em um Cisco IOS Software Release 11.3.3 running do roteador. O Cisco IOS Software Release 12.0.5.T e Mais Recente usa o raio de grupo em vez do raio. Consequentemente, as indicações tais como o raio padrão da autentificação de login aaa permitem aparecem como o habilitado para radius do grupo padrão da autentificação de login aaa. Refira a informação radius na documentação IOS Cisco para detalhes em comandos router do RAIO.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco IOS Software Release 11.3.3
Radius livingston
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Note: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.
Este documento utiliza esta configuração:
Configuração do roteador |
---|
! aaa new-model aaa authentication login default radius enable aaa authentication ppp default if-needed radius aaa authorization network default radius enable password cisco ! chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! !--- CHAP/PPP authentication user: interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- PAP/PPP authentication user: interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Login authentication user with autocommand PPP: interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 radius-server host 171.68.118.101 radius-server timeout 10 radius-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end |
Note: Isso assume Livingston RADIUS.
# Handshake with router--router needs "radius-server key cisco": 10.29.1.3 cisco
Note: Isso assume Livingston RADIUS.
# User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994 # address assigned from pool on router chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/pap authentication line 2 # address assigned from pool on router # Can also have 'Password = "UNIX" which uses /etc/passwd papuser Password = "papuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994 # address assigned by server chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10 # ppp/pap authentication line 2 # address assigned by server papadd Password = "papadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.11 # authentication user line 3 # address assigned from pool on router # Can also have 'Password = "UNIX" which uses /etc/passwd authauto = "authauto" User-Service-Type = Login-User
Note: A configuração do PC pode variar baseado levemente na versão do sistema operacional que você se usa.
Selecione o iniciar > programas > acessórios > rede dial-up.
Selecione conexões > Make New Connection e dê entrada com um nome para sua conexão.
Entre em seu informação específico de modem. Sob configurar > general escolhem a velocidade a mais alta de seu modem, mas não verificam a caixa abaixo desta.
Seleto configurar > conexão, e bit de dados do uso 8, nenhuma paridade, e 1 bit de interrupção. Para preferências de chamada, selecione a espera para o tom de discagem antes de discar, e cancele o atendimento se não conectado após 200 segundos.
Selecione o padrão somente do controle de fluxo de hardware e do tipo de modulação para avançado.
Sob configurar > opções que nada deve ser verificado exceto sob o controle de status. Click OK.
Entre no número de telefone do destino, a seguir clique-o em seguida e termine-o.
Uma vez que o ícone da nova conexão aparece, clicar com o botão direito nele e selecione propriedades > tipo de servidor.
Escolha o PPP: O WINDOWS 95, WINDOWS NT 3.5, Internet e não verifica nenhuma opções avançada. Verifique pelo menos o TCP/IP sob protocolos de rede permitidos.
Escolha o endereço IP atribuído do server, o gateway padrão dos endereços de servidor de nome designado de servidor, e do uso na rede remota sob ajustes TCP/IP. Click OK.
Quando o usuário faz duplo clique o ícone para trazer acima a conexão ao indicador para discar, o usuário deve preencher os campos do nome de usuário e de senha, e clica então conecta.
A configuração para a linha de usuário 3 (usuário de autenticação com comando automático PPP) é a mesma que para a linha de usuários 1 e 2. A exceção é verificar traz acima a janela terminal após discar configurar > da janela de opções.
Quando você faz duplo clique o ícone para trazer acima a conexão ao indicador para discar, não preencha os campos do nome de usuário e de senha. Clique em Conectar. Depois que a conexão ao roteador é feita, a entrada o nome de usuário e senha na janela preta que aparece. O clique continua (F7) após a autenticação.
No momento, não há procedimento de verificação disponível para esta configuração.
A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Note: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
monitor terminal — Indicadores comando debug e mensagens de erro de sistema para o terminal atual e a sessão.
debugar a negociação ppp — Indica os pacotes PPP enviados durante a inicialização de PPP, onde as opções de PPP são negociadas.
debugar o pacote ppp — Indica os pacotes PPP que são enviados e recebidos. (Este comando mostra cópias parciais da memória de pacote de nível baixo.)
debugar o PPP chap — Indica a informação sobre se um cliente passa a autenticação (para Cisco IOS Software Release mais cedo de 11.2).
debug aaa authentication — Exibe informações sobre autenticação AAA/TACACS+.
debug aaa authorization — Exibe informações sobre autorização AAA/TACACS+.
Note: Isto supõe o código de servidor Unix de Livingston.
radiusd -x -d <full_path_to_users_clients_dictionary>