Configuration de l'accès commuté RADIUS avec l'authentification de serveur Livingston

Introduction

Ce document aide le premier utilisateur RADIUS à configurer et déboguer une configuration RADIUS commutée avec authentification sur un serveur RADIUS Livingston. Il ne s'agit pas d'une description exhaustive des fonctionnalités RADIUS du logiciel Cisco IOS^®. La documentation de Livingston est disponible sur le site Web de Lucent Technologies. La configuration du routeur est identique quel que soit le serveur utilisé.

Cisco propose du code RADIUS dans Cisco Secure ACS pour Windows, Cisco Secure UNIX ou Cisco Access Registrar. La configuration du routeur dans ce document a été développée sur un routeur exécutant le logiciel Cisco IOS Version 11.3.3. Le logiciel Cisco IOS version 12.0.5.T et ultérieure utilise le rayon de groupe au lieu du rayon. Par conséquent, les instructions telles que aaa authentication login default radius enable apparaissent comme aaa authentication login default group radius enable. Reportez-vous aux informations RADIUS de la documentation Cisco IOS pour plus de détails sur les commandes de routeur RADIUS.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Cisco IOS Version 11.3.3

• RADIUS de Livingston

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l’outil de recherche de commandes (clients inscrits seulement) pour en savoir plus sur les commandes figurant dans le présent document.

Configuration

Ce document utilise la configuration suivante :

!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Fichier client sur serveur

Note : Ceci suppose Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Fichier d'utilisateurs sur le serveur

Note : Ceci suppose Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Microsoft Windows Setup pour les lignes 1 et 2

Remarque : La configuration du PC peut varier légèrement en fonction de la version du système d'exploitation que vous utilisez.

1. Sélectionnez Start > Programs > Accessories > Dial-Up Networking.

2. Sélectionnez Connexions > Créer une nouvelle connexion et entrez un nom pour votre connexion.

3. Saisissez les informations spécifiques à votre modem. Sous Configurer > Général, sélectionnez la vitesse la plus élevée de votre modem, mais ne cochez pas la case en dessous.

4. Sélectionnez Configure > Connection et utilisez 8 bits de données, aucune parité et 1 bit d'arrêt. Pour les préférences d'appel, sélectionnez Attendre la tonalité avant de composer le numéro, puis Annuler l'appel s'il n'est pas connecté après 200 secondes.

5. Sélectionnez uniquement Contrôle de flux matériel et Type de modulation Standard pour Advanced.

6. Sous Configurer > Options, rien ne doit être vérifié sauf sous contrôle d'état. Click OK.

7. Entrez le numéro de téléphone de la destination, puis cliquez sur Suivant et Terminer.

8. Une fois que l'icône de nouvelle connexion apparaît, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés > Type de serveur.

9. Choisissez PPP : WINDOWS 95, WINDOWS NT 3.5, Internet et ne vérifiez aucune option avancée. Vérifiez au moins TCP/IP sous les protocoles réseau autorisés.

10. Choisissez Adresse IP attribuée au serveur, Adresses serveur de noms attribuées au serveur et Utiliser la passerelle par défaut sur le réseau distant sous les paramètres TCP/IP. Click OK.

11. Lorsque l'utilisateur double-clique sur l'icône pour afficher la fenêtre Se connecter à pour composer le numéro, il doit renseigner les champs Nom d'utilisateur et Mot de passe, puis cliquez sur Se connecter.

Configuration de Microsoft Windows pour la ligne utilisateur 3

La configuration de la ligne utilisateur 3 (utilisateur d'authentification avec autocommand PPP) est identique à celle des lignes utilisateur 1 et 2. L'exception est de cocher Ouvrir la fenêtre du terminal après avoir composé à partir de la fenêtre Configurer > Options.

Lorsque vous double-cliquez sur l'icône pour afficher la fenêtre Se connecter à pour composer le numéro, ne renseignez pas les champs Nom d'utilisateur et Mot de passe. Cliquez sur Connect. Une fois la connexion établie au routeur, saisissez le nom d'utilisateur et le mot de passe dans la fenêtre noire qui s'affiche. Cliquez sur Continuer (F7) après l'authentification.

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Commandes de dépannage du routeur

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

• terminal monitor - Affiche la sortie de la commande debug et les messages d'erreur système pour le terminal et la session en cours.

• debug ppp negotiation - Affiche les paquets PPP envoyés lors du démarrage PPP, où les options PPP sont négociées.

• debug ppp packet : affiche les paquets PPP qui sont envoyés et reçus. (Cette commande affiche les vidages de paquets de bas niveau.)

• debug ppp chap : affiche des informations sur l'authentification d'un client (pour les versions du logiciel Cisco IOS antérieures à 11.2).

• debug aaa authentication - Affiche des informations sur l'authentification AAA/TACACS+.

• debug aaa Authorization : affiche des informations sur l'autorisation AAA/TACACS+.

Serveur 

Remarque : Ceci suppose le code serveur UNIX de Livingston.

radiusd -x -d <full_path_to_users_clients_dictionary>

Informations connexes

• Configuration de RADIUS avec un serveur Livingston
• Page d'assistance RADIUS
• Demandes de commentaires (RFC)
• Support et documentation techniques - Cisco Systems