Настройка RADIUS клиента
Обзор
Remote Authentication Dial In User Service (RADIUS) — это протокол удаленной аутентификации, который используется для взаимодействия с сервером аутентификации.
RADIUS сервер отвечает за получение запросов на подключение пользователей, аутентификацию пользователя, а затем возвращает всю необходимую информацию для настройки клиента для предоставления услуг пользователю.
Ключевые моменты аутентификации RADIUS:
- Транзакции между клиентом и сервером аутентифицируются с использованием общего ключа, который никогда не передается по сети.
- Пароль шифруется перед отправкой по сети.
Аутентификация на RADIUS сервере
Рисунок 13-20: Конфигурация хоста RADIUS сервера
Хост
(config)# radius-server login key testing101 vrf management | Укажите глобальный ключ для RADIUS серверов, которые не настроены с их соответствующими ключами для VRF управления. Этот ключ должен совпадать с ключом, указанным в конфигурационном файле сервера TACACS. |
(config)# radius-server login key testing101 | Укажите глобальный ключ для RADIUS серверов, которые не настроены с их соответствующими ключами для VRF по умолчанию. Этот ключ должен совпадать с ключом, указанным в конфигурационном файле сервера TACACS. |
(config)# radius-server login host 10.16.19.2 vrf management key testing123 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с общим локальным ключом для VRF управления. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)# radius-server login host 10.16.19.2 key testing123 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с общим локальным ключом для VRF по умолчанию. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)# radius-server login host 10.12.30.86 vrf management auth-port 1045 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта для VRF управления. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)# radius-server login host 10.12.30.86 auth-port 1045 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта для VRF по умолчанию. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#radius-server login host 10.12.17.11 vrf management key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 6 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта аутентификации, номером порта учета, общим ключом для VRF управления. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#radius-server login host 10.12.17.11 key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 6 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта аутентификации, номером порта учета, общим ключом для VRF по умолчанию. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#radius-server login host RadiusServer-1 vrf management key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 2 | Укажите RADIUS сервер, настроенный с именем хоста, ключом, номером порта аутентификации, номером порта учета для VRF управления. RADIUS сервер должен быть запущен с тем же номером порта. |
radius-server login host Radius-Server-1 key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 2 | Укажите RADIUS сервер, настроенный с именем хоста, ключом и номером порта для VRF по умолчанию. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#aaa authentication login default vrf management group radius | Включите аутентификацию для RADIUS сервера, настроенного для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default group radius | Включите аутентификацию для RADIUS сервера, настроенного для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group radius local | Включите аутентификацию для RADIUS �сервера с резервным переходом на локальную аутентификацию, настроенного для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default group radius local | Включите аутентификацию для RADIUS сервера с резервным переходом на локальную аутентификацию, настроенного для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group radius local none | Включите аутентификацию для RADIUS сервера с резервным переходом на локальную аутентификацию, а затем на отсутствие аутентификации, настроенного для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default radius local none | Включите аутентификацию для RADIUS сервера с резервным переходом на локальную аутентификацию, а затем на отсутствие аутентификации, настроенного для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group radius none | Включите аутентификацию для RADIUS сервера с резервным переходом на отсутствие аутентификации, настроенного для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default group radius none | Включите аутентификацию для RADIUS сервера с резервным переходом на отсутствие аутентификации, настроенного для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa group server radius G1 vrf management | Создайте группу AAA RADIUS G1 для VRF управления. |
(config)#aaa group server radius G1 | Создайте группу AAA RADIUS G1 для VRF по умолчанию. |
(config-radius)#server 10.12.30.86 | Сделайте RADIUS сервер 10.12.30.86 частью этой группы G1 для VRF по умолчанию. |
(config-radius)#server Radius-Server-1 | Сделайте Radius-Server-1 частью этой группы G1. |
(config)#exit | Выйдите из режима RADIUS. |
Проверка
Для проверки процесса аутентификации RADIUS используйте SSH или Telnet с хост-машины на IP хоста с созданным аутентифицирующим пользователем, предоставьте пароль RADIUS сервера и проверьте, валидирует ли клиент пользователя с соответствующим именем пользователя и паролем.
#sh radius-server vrf management
VRF: management
timeout value: 5
Total number of servers:2
Following RADIUS servers are configured:
100.0.0.1:
available for authentication on port:60000
available for accounting on port:60000
RADIUS shared secret:
Radius-Server-1:
available for authentication on port:60000
available for accounting on port:60000
RADIUS shared secret:
...
Учет на RADIUS сервере
Вы можете настроить учет для измерения ресурсов, которые потребляет пользователь во время доступа.
Пользователь
#configure terminal | Перейти в режим конфигурации. |
(config)#radius-server login host 10.12.17.11 vrf management key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 6 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта аутентификации, номером порта учета, общим ключом для VRF управления. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#radius-server login host 10.12.17.11 key 7 wawyanb123 auth-port 60000 acct-port 60000 timeout 6 | Укажите IPv4-адрес RADIUS сервера, который будет настроен с номером порта для VRF по умолчанию. RADIUS сервер должен быть запущен с тем же номером порта. |
(config)#aaa accounting default vrf management group radius | Включите учет для RADIUS сервера, настроенного для VRF управления. |
(config)#aaa accounting default group radius | Включите учет для RADIUS сервера, настроенного для VRF по умолчанию. |
Проверка
#sh aaa accounting vrf management
VRF: management
default: group radius
#sh aaa accounting vrf all
VRF: management
default: group radius
VRF: default
default: group radius
...
Пример файла конфигурации Radius Clients.conf
client 10.12.58.20 {
secret = testing123
shortname = localhost
}
client 192.168.1.2 {
secret = testing123
shortname = localhost
}
client 10.12.37.196 {
secret = testing123
}
client 100.0.0.2 {
secret = testing123
shortname = localhost
}
# IPv6 Client
#client ::1 {
# secret = testing123
# shortname = localhost
#}
#
# All IPv6 Site-local clients
#client fe80::/16 {
# secret = testing123
# shortname = localhost
Пример файла конфигурации пользователей Radius
#
#DEFAULT
# Service-Type = Login-User,
# Login-Service = Rlogin,
# Login-IP-Host = shellbox.ispdomain.com
# #
# # Last default: shell on the local terminal server.
# #
# DEFAULT
# Service-Type = Administrative-User
# On no match, the user is denied access.
selftest Cleartext-Password := "password"
testuser1 Cleartext-Password := "user1@101"
testuser2 Cleartext-Password := "user2@202"
testuser3 Cleartext-Password := "user3@303"