Konfigurieren der RADIUS-DFÜ-Authentifizierung mit der Livingston Server-Authentifizierung

Einführung

Dieses Dokument unterstützt den erstmaligen RADIUS-Benutzer beim Einrichten und Debuggen einer RADIUS-Einwahlkonfiguration mit Authentifizierung für einen Livingston RADIUS-Server. Die RADIUS-Funktionen der Cisco IOS^® Software sind nicht vollständig beschrieben. Livingston-Dokumentation ist auf der Lucent Technologies-Website verfügbar. Die Router-Konfiguration ist unabhängig vom verwendeten Server identisch.

Cisco bietet RADIUS-Code in Cisco Secure ACS für Windows, Cisco Secure UNIX oder Cisco Access Registrar. Die Router-Konfiguration in diesem Dokument wurde auf einem Router mit Cisco IOS Software Release 11.3.3 entwickelt. Cisco IOS Software Release 12.0.5.T und höher verwendet Gruppenradius anstelle des Radius. Aus diesem Grund werden Anweisungen wie ein Standardradius für die Authentifizierungsanmeldung aktiviert als Standardgruppenradius für die Authentifizierungsanmeldung aktiviert. Einzelheiten zu RADIUS-Routerbefehlen finden Sie in der Cisco IOS-Dokumentation zu den RADIUS-Informationen.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Cisco IOS Softwareversion 11.3.3

• Livingston RADIUS

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.

Konfiguration

In diesem Dokument wird diese Konfiguration verwendet:

!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Client-Datei auf dem Server

Hinweis: Hierbei wird von Livingston RADIUS ausgegangen.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Benutzerdatei auf Server

Hinweis: Hierbei wird von Livingston RADIUS ausgegangen.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Microsoft Windows Setup für die Benutzerzeilen 1 und 2

Hinweis: Die PC-Konfiguration kann je nach verwendeter Betriebssystemversion leicht abweichen.

1. Wählen Sie Start > Programme > Zubehör > DFÜ-Netzwerk aus.

2. Wählen Sie Verbindungen > Neue Verbindung herstellen, und geben Sie einen Namen für die Verbindung ein.

3. Geben Sie die modemspezifischen Informationen ein. Wählen Sie unter Konfigurieren > Allgemein die höchste Modemgeschwindigkeit aus, aktivieren Sie jedoch nicht das Kontrollkästchen darunter.

4. Wählen Sie Configure > Connection aus, und verwenden Sie 8 Datenbits, keine Parität und 1 Stoppbit. Wählen Sie für Anrufvoreinstellungen Vor dem Wählen auf Wählton warten, und brechen Sie den Anruf ab, wenn er nach 200 Sekunden nicht verbunden ist.

5. Wählen Sie nur Hardware Flow Control and Modulation Type Standard for Advanced aus.

6. Unter Konfigurieren > Optionen sollte nur unter Statuskontrolle ein Häkchen angebracht werden. Klicken Sie auf OK.

7. Geben Sie die Telefonnummer des Ziels ein, und klicken Sie dann auf Weiter und Beenden.

8. Wenn das neue Verbindungssymbol angezeigt wird, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Eigenschaften > Servertyp aus.

9. Wählen Sie PPP:WINDOWS 95, WINDOWS NT 3.5, Internet und überprüfen Sie keine erweiterten Optionen. Aktivieren Sie mindestens TCP/IP unter zulässigen Netzwerkprotokollen.

10. Wählen Sie Server-zugewiesene IP-Adresse, Server-Serveradressen mit zugewiesenem Namen und Standard-Gateway im Remote-Netzwerk unter TCP/IP-Einstellungen verwenden aus. Klicken Sie auf OK.

11. Wenn der Benutzer auf das Symbol doppelklickt, um das Fenster Connect To (Verbindung herstellen) zum Wählen aufzurufen, muss der Benutzer die Felder User name (Benutzername) und Password (Kennwort) eingeben und dann auf Connect (Verbinden) klicken.

Microsoft Windows Setup für Benutzerleitung 3

Die Konfiguration für die Benutzerzeile 3 (Authentifizierungsbenutzer mit autocommand PPP) entspricht der für die Benutzerleitungen 1 und 2. Die Ausnahme ist, dass Sie nach dem Wählen aus dem Fenster Konfigurieren > Optionen das Terminalfenster "Bringen" aktivieren.

Wenn Sie auf das Symbol doppelklicken, um das Fenster Connect To (Verbindung mit) zum Wählen aufzurufen, füllen Sie nicht die Felder User name (Benutzername) und Password (Kennwort) aus. Klicken Sie auf Verbinden. Wenn die Verbindung zum Router hergestellt ist, geben Sie den Benutzernamen und das Kennwort im schwarzen Fenster ein, das angezeigt wird. Klicken Sie nach der Authentifizierung auf Weiter (F7).

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Router-Fehlerbehebungsbefehle

Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.

• terminal monitor (Terminalmonitor): Zeigt die Ausgabe des Befehls debug sowie Systemfehlermeldungen für das aktuelle Terminal und die aktuelle Sitzung an.

• debug ppp negotiation: Zeigt PPP-Pakete an, die während des PPP-Startvorgangs gesendet werden, wobei PPP-Optionen ausgehandelt werden.

• debug ppp packet: Zeigt PPP-Pakete an, die gesendet und empfangen werden. (Dieser Befehl zeigt Low-Level Packet Dumps an.)

• debug ppp chap: Zeigt Informationen darüber an, ob ein Client die Authentifizierung besteht (für Cisco IOS Software Releases vor 11.2).

• debug aaa authentication: Zeigt Informationen zur AAA/TACACS+-Authentifizierung an.

• debug aaa autorization: Zeigt Informationen zur AAA/TACACS+-Autorisierung an.

Server

Hinweis: Hierbei wird der UNIX-Servercode von Livingston vorausgesetzt.

radiusd -x -d <full_path_to_users_clients_dictionary>

Zugehörige Informationen

• Konfigurieren von RADIUS mit Livingston Server
• RADIUS-Support-Seite
• Anforderungen für Kommentare (RFCs)
• Technischer Support und Dokumentation - Cisco Systems