使用Livingston Server配置RADIUS

下載選項

  • PDF     (267.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (82.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (68.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2006 年 8 月 25 日
文件 ID:8524

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文旨在協助首次RADIUS使用者設定和調試Livingston RADIUS伺服器的RADIUS組態。它並非有關Cisco IOS® RADIUS功能的詳盡說明。可從Lucent Technologies網站獲取Livingston文檔。

無論使用什麼伺服器,路由器配置都是相同的。Cisco在Couses NA、Couses UNIX或Cisco Access Registrar中提供市售RADIUS代碼。

此路由器配置是在執行Cisco IOS軟體版本11.3.3的路由器上開發的;12.0.5.T及更新版本使用group radius而不是radius,因此aaa authentication login default radius enable等語句顯示為aaa authentication login default group radius enable

有關RADIUS路由器命令的詳細資訊,請參閱Cisco IOS文檔中的RADIUS資訊。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

驗證

請完成以下步驟:

  1. 確保在UNIX伺服器上編譯了RADIUS代碼。伺服器配置假定您使用Livingston RADIUS伺服器代碼。路由器配置需要與其他伺服器代碼配合使用,但伺服器配置不同。代碼radiusd必須作為root運行。

  2. Livingston RADIUS代碼隨附三個樣例檔案,供系統定製:clients.example、users.example和dictionary。這些通常都位於raddb目錄中。您可以修改這些檔案或本文檔末尾的使用者和客戶端檔案。所有三個檔案都需要放入工作目錄中。測試以確保RADIUS伺服器以三個檔案啟動: 

    radiusd -x -d (directory_containing_3_files)

    啟動錯誤需要列印到螢幕或directory_containing_3_files_logfile中。檢查以確保RADIUS從另一個伺服器視窗啟動:

    ps -aux | grep radiusd
(or ps -ef | grep radiusd)

    您會看到兩個半徑的過程。

  3. 終止radius進程: 

    kill -9 highest_radiusd_pid

  4. 在路由器控制檯埠上,開始配置RADIUS。進入啟用模式,並在命令集之前鍵入configure terminal。此語法可確保您最初不會鎖定在路由器之外,因為RADIUS不會在伺服器上運行: 

    
!--- Turn on RADIUS

aaa new-model
enable password whatever

!--- These are lists of authentication methods, !--- that is, "linmethod", "vtymethod", "conmethod" are !--- names of lists, and the methods listed on the same !--- lines are the methods in the order to be tried. As !--- used here, if authentication fails due to the radiusd !--- not being started, the enable password will be !--- accepted because it is in each list.

aaa authentication login default radius enable
aaa authentication login linmethod radius enable
aaa authentication login vtymethod radius enable
aaa authentication login conmethod radius enable

!--- Point the router to the server, that is, !--- #.#.#.# is the server IP address.

radius-server host #.#.#.#

!--- Enter a key for handshaking !--- with the RADIUS server:

radius-server key cisco
line con 0
        password whatever
        
!--- No time-out to prevent being !--- locked out during debugging.

        exec-timeout 0 0
        login authentication conmethod
line 1 8
        login authentication linmethod
        modem InOut
        transport input all
        rxspeed 38400
        txspeed 38400
        password whatever
        flowcontrol hardware
line vty 0 4
        password whatever
        
!--- No time-out to prevent being !--- locked out during debugging.

        exec-timeout 0 0
        login authentication vtymethod

  5. 檢查時,請保持通過控制檯埠登入到路由器,以確保在繼續操作之前,仍可以通過Telnet訪問路由器。由於radiusd未運行,因此需要使用任何使用者ID接受啟用密碼。

    caution 注意:保持控制檯埠會話處於活動狀態並保持在啟用模式。確保此會話不會超時。進行配置更改時,請勿將自己鎖定。

    發出以下命令,以便檢視路由器上伺服器與路由器的互動:

    terminal monitor
debug aaa authentication

  6. 以root使用者身份在伺服器上啟動RADIUS: 

    radiusd -x -d (directory_containing_3_files)

    啟動中的錯誤會列印到螢幕或directory_containing_3_files_logfile中。檢查以確保RADIUS從另一個伺服器視窗啟動:

    Ps -aux | grep radiusd
(or Ps -ef | grep radiusd)

    您需要看到兩個輻射進程。

  7. Telnet(vty)使用者現在必須透過RADIUS進行驗證。在路由器和伺服器進行調試時,執行步驟5和6,從網路的另一部分Telnet至路由器。路由器會生成您回覆的使用者名稱和密碼提示: 

    ciscousr (username from users file)
ciscopas (password from users file)

    觀察需要檢視RADIUS互動的伺服器和路由器,例如,傳送的內容、響應、請求等。請更正所有問題,然後再繼續。

  8. 如果您也希望使用者透過RADIUS進行驗證以進入啟用模式,請確保您的主控台連線埠作業階段仍處於作用中狀態,並將此命令新增到路由器中。 

    
!--- For enable mode, list "default" looks to RADIUS !--- then enable password if RADIUS not running. 

aaa authentication enable default radius enable

  9. 使用者現在必須透過RADIUS啟用。在路由器和伺服器進行調試時,執行步驟5和6,從網路的另一部分Telnet至路由器。路由器需要產生您回覆的使用者名稱和密碼提示: 

    ciscousr (username from users file)
ciscopas (password from users file)

    當您進入啟用模式時,路由器會傳送使用者名稱$enable15$並請求密碼,您會回覆:

    shared

    觀察需要檢視RADIUS互動的伺服器和路由器,例如,傳送的內容、響應、請求等。請更正所有問題,然後再繼續。

  10. 通過建立到路由器的Telnet會話(需要通過RADIUS進行身份驗證),檢查通過RADIUS對控制檯埠使用者的身份驗證。在確認可以通過控制檯埠登入路由器、通過控制檯埠註銷與路由器的原始連線,然後重新連線到控制檯埠之前,保持通過遠端登入到路由器並處於啟用模式。使用步驟9中的使用者名稱和密碼登入和啟用控制檯埠身份驗證現在需要通過RADIUS。

  11. 當您保持通過Telnet會話或控制檯埠連線時,當路由器和伺服器進行調試時,步驟5和6建立到線路1的數據機連線。線路使用者現在需要通過RADIUS登入和啟用。路由器需要產生您回覆的使用者名稱和密碼提示: 

    ciscousr (username from users file)
ciscopas (password from users file)

    當您進入啟用模式時,路由器會傳送使用者名稱$enable15$並請求密碼,您會回覆:

    shared

    觀察需要檢視RADIUS互動的伺服器和路由器,例如,傳送的內容、響應、請求等。請更正所有問題,然後再繼續。

新增記帳

新增記帳是可選操作。

  1. 除非在路由器中配置,否則不會進行記帳。在路由器中啟用記帳,如本例所示: 

    aaa accounting exec default start-stop radius
aaa accounting connection default start-stop radius
aaa accounting network default start-stop radius
aaa accounting system default start-stop radius

  2. 使用記帳選項在伺服器上啟動RADIUS: 

    Start RADIUS on the server with the accounting option:

  3. 若要檢視路由器上伺服器到路由器的互動: 

    terminal monitor
debug aaa accounting

  4. 通過調試觀察伺服器和路由器互動的同時訪問路由器,然後檢查日誌檔案的記帳目錄。

測試檔案

這是使用者測試檔案:

ciscousr        Password = "ciscopas"
                User-Service-Type = Login-User,
                Login-Host = 1.2.3.4,
                Login-Service = Telnet

$enable15$      Password = "shared"
                User-Service-Type = Shell-User

這是客戶端測試檔案:

# 1.2.3.4 is the ip address of the client router and cisco is the key
1.2.3.4         cisco

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
25-Aug-2006
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您