在ONS15454版本6.0的RADIUS认证问题
简介
本文档介绍Cisco ONS 15454环境中ONS 15454版本6.0中远程身份验证拨入用户服务(RADIUS)服务器身份验证的几个已知问题。
先决条件
要求
Cisco 建议您了解以下主题:
-
Cisco ONS 15454
-
RADIUS 服务器
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
思科ONS 15454版本6.0
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
背景信息
RADIUS是分布式安全系统,可保护对网络和网络服务的远程访问免受未经授权的访问。RADIUS包括以下三个组件:
-
使用用户数据报协议(UDP)/IP的帧格式协议
-
一台服务器
-
客户端
ONS 15454节点作为RADIUS的客户端运行。客户端将用户信息传递到指定的RADIUS服务器,然后对响应执行操作。RADIUS服务器接收用户连接请求,对用户进行身份验证,并返回客户端向用户提供服务所需的所有配置信息。
共享密钥对RADIUS客户端和服务器之间的事务进行身份验证。共享密钥从不通过网络发送。此外,在客户端和RADIUS服务器之间交换时,任何用户密码都会加密。加密过程消除了监控不安全网络以确定用户密码的可能性。
共享密钥
共享密钥是用作ONS15454 RADIUS客户端和RADIUS服务器之间密码的文本字符串。要创建共享密钥,请完成以下步骤:
-
登录思科传输控制器(CTC)。
-
转至“网络”视图。
-
选择特定ONS 15454以转到“机架”视图。
-
单击Provisioning > Security > RADIUS Server。
-
在IP Address字段中键入RADIUS服务器的IP地址(请参阅图1中的箭头A)。
-
在共享密钥(Shared Secret)字段中键入共享密钥。共享密钥是用作RADIUS客户端和RADIUS服务器之间的密码的文本字符串(请参阅图1中的箭头B)。
-
在Authentication Port字段中键入RADIUS身份验证端口号(请参阅图1中的箭头C)。
默认验证端口号是 1812。如果节点是ENE,请将身份验证端口设置为1860和1869范围内的数字。
-
在Accounting Port字段中键入RADIUS记帐端口号(请参阅图1中的箭头D)。
默认的计费端口号是 1813。如果节点是ENE,请将记帐端口设置为1870和1879范围内的数字。
图1 — 安全:RADIUS 服务器
使用共享密钥确保配置了相同共享密钥的启用RADIUS的设备发送除Access-Request消息外的所有RADIUS消息。
共享密钥确保RADIUS消息在传输中不被修改。换句话说,共享密钥可保持消息完整性。共享密钥还会加密某些RADIUS属性,例如用户密码和隧道密码。
ONS 15454 6.0版将共享密钥的长度限制为16个字符。但是,从ONS 15454版本6.2开始,思科计划将最大长度增加到128个字符。有关详细信息,请参阅Cisco Bug ID CSCsc16614(仅注册客户)。
共享密钥字符组支持:
-
字母(大写和小写),例如A、B、a和b。
-
数字,例如1、2和3。
-
符号,表示未定义为字母或数字的所有字符,例如,>、(和*。
用户安全组映射
属性值(AV)对表示变量和变量可以保留的可能值之一。在ONS 15454中,用户根据思科AV对映射到不同的安全组。示例如下:
"shell:priv-lvl=X",其中X可以是0到3的值:
-
0表示RTRV。
-
1代表PROV。
-
2代表MAINT。
-
3代表超级。
密码
RADIUS服务器和客户端不限制用于密码的字符。但是,CTC有一个限制。对于ONS 15454版本6.0,CTC支持以下字符:
-
字母(大写和小写),例如A、B、a和b。
-
数字,例如1、2和3。
-
仅#、%和+特殊符号。
思科计划取消ONS 15454更高版本中对特殊符号的限制。有关详细信息,请参阅Cisco Bug ID CSCsc16604(仅限注册客户)。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
27-Feb-2014 |
初始版本 |
反馈