FreeRADIUS使用了在Cisco IOS配置示例的管理访问

FreeRADIUS使用了在Cisco IOS配置示例的管理访问

https://www.cnblogs.com/travis-li/p/12557847.html

简介

本文描述如何用第三方RADIUS服务器(FreeRADIUS)配置在Cisco IOS交换机的RADIUS认证。此示例包括用户的安置直接地到权限15模式在认证。

先决条件

要求

保证您安排您的Cisco交换机被定义成客户端在FreeRADIUS用在FreeRADIUS和交换机和同一被共享的密钥定义的IP地址。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • FreeRADIUS
  • Cisco IOS版本12.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

配置认证和授权的交换机

  1. 为了用退路访问的充分的权限创建交换机的一个本地用户,请进入:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. 为了enable (event) AAA,进入:
    switch(config)# aaa new-model
  3. 为了提供RADIUS服务器以及键的IP地址,请进入:
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    Note:键必须匹配在交换机的RADIUS服务器配置的共有的秘密。

  4. 为了测试RADIUS服务器可用性,请参与aaa命令的测试
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    测试认证失效与从服务器的拒绝,因为没有配置,但是确认服务器可及的。
  5. 为了配置登录认证落回到本地用户,如果RADIUS是不可得到的,请进入:
    switch(config)#aaa authentication login default group radius local
  6. 为了配置权限级别的授权的15,只要用户验证,请进入:
    switch(config)#aaa authorization exec default group radius if-authenticated

FreeRADIUS配置

定义FreeRADIUS服务器的客户端

  1. 为了连接到配置目录,请进入:
    # cd /etc/freeradius
  2. 为了编辑clients.conf文件,请进入:
    # sudo nano clients.conf
  3. 为了添加主机名(路由器/交换机)确定的每个设备-,并且包括正确的共有的秘密,请进入:
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. 为了编辑用户文件,请进入:
    # sudo nano users
  5. 添加每个用户允许访问设备。此示例展示如何设置Cisco IOS权限级别的15用户的“cisco”。
    cisco Cleartext-Password := "password"
           Service-Type = NAS-Prompt-User,
           Cisco-AVPair = "shell:priv-lvl=15"
  6. 为了重新启动FreeRADIUS,请进入:
    # sudo /etc/init.d/freeradius restart
  7. 为了更改在用户文件的默认用户组为了产生是cisco rw的成员每权限级别的15的所有用户,请进入:
    DEFAULT Group == cisco-rw, Auth-Type = System
            Service-Type = NAS-Prompt-User,
            cisco-avpair :="shell:priv-lvl=15"
  8. 您在FreeRADIUS用户文件能添加其他用户在不同的权限级别当必要时。例如,产生此用户(生活)级别的3 (系统维护) :
    sudo nano/etc/freeradius/users

    life  Cleartext-Password := "testing"
          Service-Type = NAS-Prompt-User,
          Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

Note:在本文的配置根据FreeRADIUS在Ubuntu 12.04 LTE运行和13.04。

验证

为了验证在交换机的配置,请使用这些命令:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa           (Show the running AAA configuration)
switch# show startup-config Radius  (Show the startup AAA configuration in
start-up configuration)

故障排除

目前没有针对此配置的故障排除信息。

======== End

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/lsgxeva/p/14244451.html