FreeRADIUS المستخدم للوصول الإداري على مثال تكوين Cisco IOS

المقدمة

يوضح هذا المستند كيفية تكوين مصادقة RADIUS على محولات Cisco IOS^® باستخدام خادم RADIUS للجهة الخارجية (FreeRADIUS). يغطي هذا المثال وضع مستخدم مباشرة في وضع الامتياز 15 عند المصادقة.

المتطلبات الأساسية

المتطلبات

تأكد من أن لديك محول Cisco الخاص بك معرف كعميل في FreeRADIUS باستخدام عنوان IP ونفس المفتاح السري المشترك المعرف على FreeRADIUS والمحول.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• FreeRADIUS
• IOS الإصدار 12.2 من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

تكوين محول للمصادقة والتفويض

1. دخلت in order to خلقت مستعمل محلي على المفتاح مع كامل امتياز للوصول إحتياطي،:
   

   Switch(config)#username admin privilege 15 password 0 cisco123!

2. لتمكين AAA، أدخل:
   

   switch(config)# aaa new-model

3. لتوفير عنوان IP الخاص بخادم RADIUS وكذلك المفتاح، أدخل:
   

   switch# configure terminal
   switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
   switch(config)#radius-server key hello123

   
   

   ملاحظة: يجب أن يتطابق المفتاح مع السر المشترك الذي تم تكوينه على خادم RADIUS للمحول.

4. لاختبار توفر خادم RADIUS، أدخل الأمر test aaa:
   

   switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

   
   فشل إختبار المصادقة في رفض الخادم لأنه لم يتم تكوينه بعد، ولكنه سيؤكد إمكانية الوصول إلى الخادم نفسه.
5. لتكوين مصادقة تسجيل الدخول للعودة إلى المستخدمين المحليين إذا كان RADIUS غير قابل للوصول، أدخل:
   

   switch(config)#aaa authentication login default group radius local

6. دخلت in order to شكلت تخويل لمستوى امتياز من 15، بما أن مستعمل يكون صادقت،:
   

   switch(config)#aaa authorization exec default group radius if-authenticated

تكوين FreeRADIUS

تعريف العميل على خادم FreeRADIUS

1. للانتقال إلى دليل التكوين، أدخل:
   

   # cd /etc/freeradius

2. دخلت in order to حررت الزبون.conf مبرد،:
   

   # sudo nano clients.conf

3. دخلت in order to أضفت كل أداة (مسحاج تخديد/مفتاح) يعين ب hostname ويتضمن ال يصح مشترك سر،:
   

   client 192.168.1.1 {
   secret = secretkey
   nastype = cisco
   shortname = switch
   }

4. دخلت in order to حررت المستعمل مبرد،:
   

   # sudo nano users

5. إضافة كل مستخدم مسموح له بالوصول إلى الجهاز. يوضح هذا المثال كيفية تعيين مستوى امتياز Cisco IOS البالغ 15 للمستخدم "cisco".
   

   cisco Cleartext-Password := "password"
          Service-Type = NAS-Prompt-User,
          Cisco-AVPair = "shell:priv-lvl=15"

6. لإعادة تشغيل FreeRADIUS، أدخل:
   

   # sudo /etc/init.d/freeradius restart

7. دخلت in order to غيرت التقصير مستعمل مجموعة في المستعمل مبرد in order to أعطت كل مستعمل عضو من cisco-rw مستوى امتياز من 15،:
   

   DEFAULT Group == cisco-rw, Auth-Type = System
           Service-Type = NAS-Prompt-User,
           cisco-avpair :="shell:priv-lvl=15"

8. يمكنك إضافة مستخدمين آخرين بمستويات امتياز مختلفة حسب الحاجة في ملف مستخدمي FreeRADIUS. على سبيل المثال، يتم منح هذا المستخدم (العمر الافتراضي) مستوى 3 (صيانة النظام):
   

   sudo nano/etc/freeradius/users
   
   life  Cleartext-Password := "testing"
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:priv-lvl=3"
   
   Restart the FreeRADIUS service:
   sudo /etc/init.d/freeradius restart

ملاحظة: يعتمد التكوين الموجود في هذا المستند على تشغيل FreeRADIUS على Ubuntu 12.04 LTE و 13.04.

التحقق من الصحة

استعملت in order to دققت التشكيل على المفتاح، هذا أمر:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa           (Show the running AAA configuration)
switch# show startup-config Radius  (Show the startup AAA configuration in
start-up configuration)

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة

• FreeRADIUS 
• الدعم التقني والمستندات - Cisco Systems