Livingston Server로 RADIUS 구성
소개
이 문서는 Livingston RADIUS 서버에 대한 RADIUS 컨피그레이션을 설정하고 디버깅하는 데 처음 RADIUS 사용자를 지원하기 위해 작성되었습니다.Cisco IOS® RADIUS 기능에 대한 자세한 설명은 아닙니다.Livingston 문서는 Lucent Technologies 웹 사이트에서 구할 수 있습니다.
어떤 서버를 사용하든 라우터 컨피그레이션은 동일합니다.Cisco는 Couscings NA, Cousculens UNIX 또는 Cisco Access Registrar에서 상용 RADIUS 코드를 제공합니다.
이 라우터 컨피그레이션은 Cisco IOS 소프트웨어 릴리스 11.3.3을 실행하는 라우터에서 개발되었습니다.릴리스 12.0.5.T 이상에서는 radius 대신 그룹 반경을 사용하므로 aaa authentication login default radius enable과 같은 명령문은 aaa authentication login default group radius enable로 나타납니다.
RADIUS 라우터 명령에 대한 자세한 내용은 Cisco IOS 설명서의 RADIUS 정보를 참조하십시오.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
인증
다음 단계를 완료하십시오.
-
UNIX 서버에서 RADIUS 코드를 컴파일했는지 확인합니다.서버 컨피그레이션에서는 Livingston RADIUS 서버 코드를 사용한다고 가정합니다.라우터 컨피그레이션은 다른 서버 코드와 함께 작동해야 하지만 서버 컨피그레이션은 다릅니다.radiusd인 코드는 루트로 실행해야 합니다.
-
Livingston RADIUS 코드에는 사용자 시스템에 맞게 사용자 지정할 수 있는 세 가지 샘플 파일이 포함되어 있습니다.clients.example, users.example 및 dictionary입니다.이 모든 정보는 일반적으로 raddb 디렉토리에 있습니다.이 파일 또는 이 문서의 끝에 있는 사용자 및 클라이언트 파일을 수정할 수 있습니다.세 파일 모두 작업 디렉토리에 배치해야 합니다.RADIUS 서버가 3개의 파일로 시작하는지 테스트합니다.
radiusd -x -d (directory_containing_3_files)
시작 오류를 화면이나 directory_contains_3_files_logfile에 인쇄해야 합니다.다른 서버 창에서 RADIUS가 시작되었는지 확인합니다.
ps -aux | grep radiusd (or ps -ef | grep radiusd)
두 개의 반사 프로세스가 보입니다.
-
반지름 프로세스를 종료합니다.
kill -9 highest_radiusd_pid
-
라우터 콘솔 포트에서 RADIUS 구성을 시작합니다.enable 모드를 입력하고 명령 집합 앞에 configure terminal을 입력합니다.이 구문은 RADIUS가 서버에서 실행되지 않는 경우 초기에 라우터에서 잠기지 않도록 합니다.
!--- Turn on RADIUS aaa new-model enable password whatever !--- These are lists of authentication methods, !--- that is, "linmethod", "vtymethod", "conmethod" are !--- names of lists, and the methods listed on the same !--- lines are the methods in the order to be tried. As !--- used here, if authentication fails due to the radiusd !--- not being started, the enable password will be !--- accepted because it is in each list. aaa authentication login default radius enable aaa authentication login linmethod radius enable aaa authentication login vtymethod radius enable aaa authentication login conmethod radius enable !--- Point the router to the server, that is, !--- #.#.#.# is the server IP address. radius-server host #.#.#.# !--- Enter a key for handshaking !--- with the RADIUS server: radius-server key cisco line con 0 password whatever !--- No time-out to prevent being !--- locked out during debugging. exec-timeout 0 0 login authentication conmethod line 1 8 login authentication linmethod modem InOut transport input all rxspeed 38400 txspeed 38400 password whatever flowcontrol hardware line vty 0 4 password whatever !--- No time-out to prevent being !--- locked out during debugging. exec-timeout 0 0 login authentication vtymethod -
계속하기 전에 텔넷을 통해 라우터에 계속 액세스할 수 있도록 체크인하는 동안 콘솔 포트를 통해 라우터에 로그인한 상태로 유지됩니다.radiusd가 실행되고 있지 않으므로 enable 비밀번호는 사용자 ID와 함께 수락해야 합니다.
주의: 콘솔 포트 세션을 활성 상태로 유지하고 활성화 모드로 유지합니다.이 세션이 시간 초과되지 않는지 확인하십시오.컨피그레이션을 변경하는 동안 자신을 잠그지 마십시오.라우터에서 서버 대 라우터 상호 작용을 보려면 다음 명령을 실행합니다.
terminal monitor debug aaa authentication
-
루트로 서버에서 RADIUS를 시작합니다.
radiusd -x -d (directory_containing_3_files)
시작 오류가 화면이나 directory_contains_3_files_logfile에 인쇄됩니다.RADIUS가 다른 서버 창에서 시작되었는지 확인합니다.
Ps -aux | grep radiusd (or Ps -ef | grep radiusd)
2개의 반사 프로세스를 확인해야 합니다.
-
텔넷(vty) 사용자는 이제 RADIUS를 통해 인증해야 합니다.라우터와 서버의 디버깅을 사용하는 경우, 5단계와 6단계에서는 네트워크의 다른 부분에서 라우터로 텔넷합니다.라우터는 사용자가 응답할 사용자 이름 및 비밀번호 프롬프트를 생성합니다.
ciscousr (username from users file) ciscopas (password from users file)
RADIUS 상호 작용(예: 전송 대상, 응답, 요청 등)을 확인해야 하는 서버 및 라우터를 살펴봅니다.계속하기 전에 모든 문제를 수정하십시오.
-
사용자가 RADIUS를 통해 인증하여 활성화 모드로 들어가도록 하려면 콘솔 포트 세션이 여전히 활성 상태인지 확인하고 이 명령을 라우터에 추가합니다.
!--- For enable mode, list "default" looks to RADIUS !--- then enable password if RADIUS not running. aaa authentication enable default radius enable
-
이제 사용자는 RADIUS를 통해 활성화해야 합니다.라우터와 서버에서 디버깅을 진행하는 경우, 5단계와 6단계에서는 네트워크의 다른 부분에서 라우터로 텔넷합니다.라우터는 사용자가 응답할 사용자 이름 및 비밀번호 프롬프트를 생성해야 합니다.
ciscousr (username from users file) ciscopas (password from users file)
enable 모드를 시작하면 라우터가 사용자 이름 $enable15$ 을(를) 전송하고 비밀번호를 요청합니다. 이 비밀번호를 사용자가 회신합니다.
shared
RADIUS 상호 작용(예: 전송 대상, 응답, 요청 등)을 확인해야 하는 서버 및 라우터를 살펴봅니다.계속하기 전에 모든 문제를 수정하십시오.
-
RADIUS를 통해 인증해야 하는 라우터에 대한 텔넷 세션을 설정하여 RADIUS를 통해 콘솔 포트 사용자의 인증을 확인합니다.콘솔 포트를 통해 라우터에 로그인하고 콘솔 포트를 통해 라우터에 대한 원래 연결에서 로그아웃한 다음 콘솔 포트에 다시 연결할 수 있을 때까지 라우터에 텔넷(Telnet)을 유지하고 활성화(enable) 모드로 유지합니다.9단계에서 사용자 및 비밀번호를 사용하여 로그인하고 활성화하는 콘솔 포트 인증은 이제 RADIUS를 통해 이루어져야 합니다.
-
텔넷 세션 또는 콘솔 포트를 통해 연결된 상태에서 라우터와 서버에서 디버깅을 진행하는 동안 5단계와 6단계에서는 라인 1에 대한 모뎀 연결을 설정합니다. 회선 사용자는 이제 RADIUS를 통해 로그인하고 활성화해야 합니다.라우터는 사용자가 응답할 사용자 이름 및 비밀번호 프롬프트를 생성해야 합니다.
ciscousr (username from users file) ciscopas (password from users file)
enable 모드를 시작하면 라우터가 사용자 이름 $enable15$ 을(를) 전송하고 비밀번호를 요청합니다. 이 비밀번호를 사용자가 회신합니다.
shared
RADIUS 상호 작용(예: 전송 대상, 응답, 요청 등)을 확인해야 하는 서버 및 라우터를 살펴봅니다.계속하기 전에 모든 문제를 수정하십시오.
주의: 콘솔 포트 세션을 활성 상태로 유지하고 활성화 모드로 유지합니다.이 세션이 시간 초과되지 않는지 확인하십시오.컨피그레이션을 변경하는 동안 자신을 잠그지 마십시오.계정 추가
어카운팅 추가는 선택 사항입니다.
-
라우터에 구성되지 않은 경우 어카운팅이 수행되지 않습니다.다음 예와 같이 라우터에서 어카운팅을 활성화합니다.
aaa accounting exec default start-stop radius aaa accounting connection default start-stop radius aaa accounting network default start-stop radius aaa accounting system default start-stop radius
-
계정 옵션을 사용하여 서버에서 RADIUS를 시작합니다.
Start RADIUS on the server with the accounting option:
-
라우터에서 서버-라우터 상호 작용을 보려면
terminal monitor debug aaa accounting
-
디버그를 통해 서버 및 라우터의 상호 작용을 관찰하는 동안 라우터에 액세스한 다음 계정 디렉터리에서 로그 파일을 확인합니다.
테스트 파일
다음은 사용자 테스트 파일입니다.
ciscousr Password = "ciscopas"
User-Service-Type = Login-User,
Login-Host = 1.2.3.4,
Login-Service = Telnet
$enable15$ Password = "shared"
User-Service-Type = Shell-User
클라이언트 테스트 파일입니다.
# 1.2.3.4 is the ip address of the client router and cisco is the key 1.2.3.4 cisco
피드백