ONS 15454 6.0版中的RADIUS驗證問題

簡介

本檔案將介紹Cisco ONS 15454環境中ONS 15454 6.0版中的遠端驗證撥入使用者服務(RADIUS)伺服器驗證的幾個已知問題。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco ONS 15454

• RADIUS伺服器

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ONS 15454版本6.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

RADIUS是一種分散式資安系統，可保護網路和網路服務的遠端存取，防止未經授權的存取。RADIUS由以下三個元件組成：

• 通訊協定，其框架格式採用使用者資料包通訊協定(UDP)/IP

• 伺服器

• 使用者端

ONS 15454節點作為RADIUS客戶端運行。使用者端將使用者資訊傳遞到指定的RADIUS伺服器，然後對回應執行動作。RADIUS伺服器會收到使用者連線要求、驗證使用者，並傳回使用者端向使用者提供服務所需的所有組態資訊。

共用金鑰對RADIUS客戶端和伺服器之間的事務進行身份驗證。共用金鑰絕不會通過網路傳送。此外，在使用者端和RADIUS伺服器之間交換時，所有使用者密碼均會加密。加密過程消除了監控不安全網路以確定使用者密碼的可能性。

共用金鑰

共用金鑰是在ONS15454 RADIUS客戶端和RADIUS伺服器之間充當密碼的文本字串。完成以下步驟即可建立共用密碼：

1. 登入到思科傳輸控制器(CTC)。

2. 轉到「網路」檢視。

3. 選擇特定的ONS 15454以轉至「貨架」檢視。

4. 按一下「Provisioning > Security > RADIUS Server」。

5. 在「IP Address（IP地址）」欄位中鍵入RADIUS伺服器的IP地址(請參閱圖1中的箭頭A)。

6. 在Shared Secret欄位中鍵入共用金鑰。共用金鑰是在RADIUS客戶端和RADIUS伺服器之間充當密碼的文本字串(請參見圖1中的箭頭B)。

7. 在「Authentication Port」欄位中鍵入RADIUS身份驗證埠號(請參見圖1中的箭頭C)。

   預設身份驗證埠號為1812。如果節點是ENE，請將身份驗證埠設定為1860和1869範圍內的一個數字。

8. 在「Accounting Port（記帳埠）」欄位中鍵入RADIUS記帳埠號(請參見圖1中的箭頭D)。

   預設記帳埠號為1813。如果節點是ENE，請將記帳埠設定為1870和1879範圍內的一個數字。

   圖1 — 安全性：RADIUS伺服器

   

使用共用金鑰以確保使用同一共用金鑰配置的啟用RADIUS的裝置傳送除Access-Request消息以外的所有RADIUS消息。

共用金鑰確保RADIUS訊息不會在傳輸過程中修改。換句話說，共用機密可保持消息完整性。共用密碼也會加密某些RADIUS屬性，例如使用者密碼和通道密碼。

ONS 15454 6.0版將共用金鑰的長度限製為16個字元。但是，從ONS 15454版本6.2開始，思科計畫將最大長度增加到128個字元。如需詳細資訊，請參閱Cisco錯誤ID CSCsc16614(僅限註冊客戶)。

共用金鑰字元組支援：

• 字母（大寫和小寫），例如A、B、a和b。

• 數字，例如1、2和3。

• 符號，表示未定義為字母或數字的所有字元，例如>、(、和*。

使用者安全組對映

屬性值(AV)對表示變數和該變數可容納的可能值之一。在ONS 15454中，使用者將根據Cisco AV配對對映到不同的安全組。以下是範例：

"shell:priv-lvl=X"，其中X的值可以是0到3:

• 0表示RTRV。

• 1表示PROV。

• 2表示MAINT。

• 3代表超級。

密碼

RADIUS伺服器和使用者端不會限制您用於密碼的字元。然而，反恐委員會有其侷限性。對於ONS 15454 6.0版，CTC支援的字元如下：

• 字母（大寫和小寫），例如A、B、a和b。

• 數字，例如1、2和3。

• 只有#、%和+特殊符號。

思科計畫移除ONS 15454較新版本中的特殊符號限制。如需詳細資訊，請參閱Cisco錯誤ID CSCsc16604(僅限註冊客戶)。

相關資訊

• 技術支援與文件 - Cisco Systems