تهيئة RADIUS باستخدام خادم Livingston
المحتويات
المقدمة
الغرض من هذا المستند هو مساعدة مستخدم RADIUS لأول مرة في إعداد تكوين RADIUS وتصحيح أخطائه إلى خادم RADIUS في ليفينجستون. وهو ليس وصفا شاملا لإمكانات CISCO IOS® RADIUS. تتوفر وثائق ليفينغستون على موقع Lucent Technologies على الإنترنت.
يكون تكوين الموجه هو نفسه بغض النظر عن الخادم الذي يتم إستخدامه. تقدم Cisco رمز RADIUS المتوفر تجاريا في Couses NA، أو Couses UNIX، أو Cisco Access Registrar.
تم تطوير تكوين الموجه هذا على موجه يعمل ببرنامج Cisco IOS Software، الإصدار 11.3.3؛ الإصدار 12.0.5.T والإصدارات الأحدث يستخدم RADIUS للمجموعة بدلا من RADIUS، لذلك تظهر عبارات مثل مصادقة AAA تسجيل الدخول الافتراضي إلىRADIUS كمصادقة AAA تسجيل الدخول الافتراضي إلى المجموعة enable.
ارجع إلى معلومات RADIUS في وثائق Cisco IOS للحصول على تفاصيل حول أوامر موجه RADIUS.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
المصادقة
أكمل الخطوات التالية:
-
تأكد من تحويل رمز RADIUS برمجيا على خادم UNIX. يفترض في تكوينات الخادم أنك تستخدم رمز خادم Livingston RADIUS. يجب أن تعمل تكوينات الموجه مع رمز الخادم الآخر ولكن تكوينات الخادم تختلف. يجب تشغيل الرمز، الذي يتم عرضه لاسلكيا، كجذر.
-
تأتي شفرة Livingston RADIUS مع ثلاثة نماذج من الملفات التي سيتم تخصيصها لنظامك، وهي العملاء.على سبيل المثال، المستخدمون.مثال، والقاموس. وهذه كلها توجد عادة في دليل RADDB. يمكنك إما تعديل هذه الملفات أو ملفات المستخدمين والعملاء في نهاية هذا المستند. يجب وضع الملفات الثلاثة جميعها في دليل عمل. قم بإجراء إختبار للتأكد من أن خادم RADIUS يبدأ بثلاثة ملفات:
radiusd -x -d (directory_containing_3_files)
يجب طباعة الأخطاء في بدء التشغيل على الشاشة أو ملف directory_contains_3_files_logfile. تأكد من بدء تشغيل RADIUS، من نافذة خادم أخرى:
ps -aux | grep radiusd (or ps -ef | grep radiusd)
تشاهدون عمليتين مشععتين.
-
اقتل عملية نصف القطر:
kill -9 highest_radiusd_pid
-
على منفذ وحدة تحكم الموجه، ابدأ في تكوين RADIUS. أدخل وضع التمكين واكتب configure terminal قبل مجموعة الأوامر. تضمن هذه الصياغة عدم قفل حسابك من الموجه في البداية، نظرا لأن RADIUS لا يعمل على الخادم:
!--- Turn on RADIUS aaa new-model enable password whatever !--- These are lists of authentication methods, !--- that is, "linmethod", "vtymethod", "conmethod" are !--- names of lists, and the methods listed on the same !--- lines are the methods in the order to be tried. As !--- used here, if authentication fails due to the radiusd !--- not being started, the enable password will be !--- accepted because it is in each list. aaa authentication login default radius enable aaa authentication login linmethod radius enable aaa authentication login vtymethod radius enable aaa authentication login conmethod radius enable !--- Point the router to the server, that is, !--- #.#.#.# is the server IP address. radius-server host #.#.#.# !--- Enter a key for handshaking !--- with the RADIUS server: radius-server key cisco line con 0 password whatever !--- No time-out to prevent being !--- locked out during debugging. exec-timeout 0 0 login authentication conmethod line 1 8 login authentication linmethod modem InOut transport input all rxspeed 38400 txspeed 38400 password whatever flowcontrol hardware line vty 0 4 password whatever !--- No time-out to prevent being !--- locked out during debugging. exec-timeout 0 0 login authentication vtymethod -
استمر في تسجيل الدخول إلى الموجه من خلال منفذ وحدة التحكم أثناء التحقق للتأكد من إستمرار إمكانية الوصول إلى الموجه من خلال برنامج Telnet قبل المتابعة. نظرا لعدم تشغيل RADIUS، يجب قبول كلمة مرور enable مع أي معرف مستخدم.
تحذير: أبق الوحدة طرفية للتحكم ميناء جلسة نشط والبقاء في enable أسلوب. تأكد من عدم انتهاء مهلة جلسة العمل هذه. لا تقم بتأمين نفسك أثناء إجراء تغييرات التكوين.أصدرت هذا أمر in order to رأيت نادل إلى مسحاج تخديد تفاعل في المسحاج تخديد:
terminal monitor debug aaa authentication
-
كجذر، ابدأ RADIUS على الخادم:
radiusd -x -d (directory_containing_3_files)
تتم طباعة الأخطاء في بدء التشغيل على الشاشة أو Directory_contains_3_files_logfile. تحقق للتأكد من بدء تشغيل RADIUS من نافذة خادم أخرى:
Ps -aux | grep radiusd (or Ps -ef | grep radiusd)
تحتاج إلى رؤية عمليتين لاسلكيين.
-
يجب الآن على مستخدمي Telnet (VTY) المصادقة من خلال RADIUS. مع تصحيح الأخطاء على الموجه والخادم، للخطوتين 5 و 6، Telnet في الموجه من جزء آخر من الشبكة. ينتج الموجه اسم مستخدم وكلمة مرور موجه حيث تقوم بالرد:
ciscousr (username from users file) ciscopas (password from users file)
راقب الخادم والموجه حيث تحتاج إلى رؤية تفاعل RADIUS، على سبيل المثال، ما يتم إرساله حيث، الاستجابات، والطلبات، وما إلى ذلك. قم بتصحيح أي مشاكل قبل المتابعة.
-
إذا كنت تريد أيضا أن يقوم مستخدميك بالمصادقة من خلال RADIUS للدخول إلى وضع التمكين، فتأكد من أن جلسة عمل منفذ وحدة التحكم ما تزال نشطة وأضفت هذا الأمر إلى الموجه.
!--- For enable mode, list "default" looks to RADIUS !--- then enable password if RADIUS not running. aaa authentication enable default radius enable
-
يجب على المستخدمين الآن التمكين عبر RADIUS. مع إستمرار تصحيح الأخطاء على الموجه والخادم، للخطوتين 5 و 6، يدخل Telnet إلى الموجه من جزء آخر من الشبكة. يحتاج المسحاج تخديد أن ينتج username وكلمة مطالبة أن أنت ترد عليها:
ciscousr (username from users file) ciscopas (password from users file)
عندما تدخل وضع التمكين، يرسل الموجه اسم المستخدم $enable15$ ويطلب كلمة، والتي ترد عليها:
shared
راقب الخادم والموجه حيث تحتاج إلى رؤية تفاعل RADIUS، على سبيل المثال، ما يتم إرساله حيث، الاستجابات، والطلبات، وما إلى ذلك. قم بتصحيح أي مشاكل قبل المتابعة.
-
تحقق من مصادقة مستخدمي منفذ وحدة التحكم الخاصة بك من خلال RADIUS من خلال إنشاء جلسة عمل Telnet للموجه، والذي يحتاج إلى المصادقة من خلال RADIUS. ابق متصلا في الموجه وفي وضع التمكين حتى تتأكد من إمكانية تسجيل الدخول إلى الموجه من خلال منفذ وحدة التحكم وتسجيل الخروج من إتصالك الأصلي بالموجه من خلال منفذ وحدة التحكم، ثم إعادة الاتصال بمنفذ وحدة التحكم. يلزم أن تكون مصادقة منفذ وحدة التحكم لتسجيل الدخول والتمكين من خلال إستخدام معرفات المستخدمين وكلمات المرور في الخطوة 9 الآن من خلال RADIUS.
-
بينما تظل متصلا إما من خلال جلسة عمل على برنامج Telnet أو منفذ وحدة التحكم ومع إستمرار تصحيح الأخطاء على الموجه والخادم، الخطوة 5 و 6، قم بإنشاء اتصال مودم بالسطر 1. يحتاج مستخدمو الخط الآن إلى تسجيل الدخول والتمكين من خلال RADIUS. يحتاج المسحاج تخديد أن ينتج username وكلمة مطالبة أن أنت ترد عليها:
ciscousr (username from users file) ciscopas (password from users file)
عندما تدخل وضع التمكين، يرسل الموجه اسم المستخدم $enable15$ ويطلب كلمة، والتي ترد عليها:
shared
راقب الخادم والموجه حيث تحتاج إلى رؤية تفاعل RADIUS، على سبيل المثال، ما يتم إرساله حيث، الاستجابات، والطلبات، وما إلى ذلك. قم بتصحيح أي مشاكل قبل المتابعة.
تحذير: أبق الوحدة طرفية للتحكم ميناء جلسة نشط والبقاء في enable أسلوب. تأكد من عدم انتهاء مهلة جلسة العمل هذه. لا تقم بتأمين نفسك أثناء إجراء تغييرات التكوين.إضافة محاسبة
إضافة المحاسبة أمر إختياري.
-
لا تتم المحاسبة ما لم يتم تكوينها في الموجه. قم بتمكين المحاسبة في الموجه مثل هذا المثال:
aaa accounting exec default start-stop radius aaa accounting connection default start-stop radius aaa accounting network default start-stop radius aaa accounting system default start-stop radius
-
بدء RADIUS على الخادم باستخدام خيار المحاسبة:
Start RADIUS on the server with the accounting option:
-
لمشاهدة الخادم لتفاعل الموجه في الموجه:
terminal monitor debug aaa accounting
-
قم بالوصول إلى الموجه أثناء مراقبة الخادم وتفاعل الموجه من خلال تصحيح الأخطاء، ثم تحقق من دليل المحاسبة للحصول على ملفات السجل.
ملفات الاختبار
هذا هو ملف إختبار المستخدمين:
ciscousr Password = "ciscopas"
User-Service-Type = Login-User,
Login-Host = 1.2.3.4,
Login-Service = Telnet
$enable15$ Password = "shared"
User-Service-Type = Shell-User
هذا هو ملف إختبار العملاء:
# 1.2.3.4 is the ip address of the client router and cisco is the key 1.2.3.4 cisco
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
25-Aug-2006 |
الإصدار الأولي |
التعليقات