Мне нужно настроить аутентификацию локального радиуса на моем маршрутизаторе cisco. У меня есть веб-приложение, в котором мы реализовали двухфакторную аутентификацию, оно отлично работает с другим сервером RADIUS, таким как freeRadius.
Мне удалось отправить Access-Request на маршрутизатор cisco, но маршрутизатор всегда отправляет обратно пакет Access-Reject.
показать текущую конфигурацию
aaa new-model
aaa session-id common
radius-server local
no authentication mac
nas 192.168.0.8 key 0 testing_new
user test2 nthash 0 0CB6948805F797BF2A82807973B89537
!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new
Когда я бегу show radius local-server statistics
я получил
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Unknown NAS : 16 Invalid packet from NAS: 11
NAS : 192.168.0.8
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Corrupted packet : 0 Unknown RADIUS message : 6
No username attribute : 1 Missing auth attribute : 0
Shared key mismatch : 0 Invalid state attribute: 0
Unknown EAP message : 0 Unknown EAP auth type : 0
Auto provision success : 0 Auto provision failure : 0
PAC refresh : 0 Invalid PAC received : 0
Мне не удалось найти конфигурацию для своего случая, и я не знаю, возможно ли это? Любые идеи, что мне не хватает в моей конфигурации cisco?
Вам не хватает сервера. Нет, вы не можете установить маршрутизатор в качестве сервера. Локальная аутентификация - это не RADIUS. Весь смысл RADIUS заключается в использовании другой машины для аутентификации. IP-адрес, который вы установили radius-server host
должен принадлежать серверу RAIDUS.
Даже если ваш маршрутизатор каким-то образом поддерживает это (некоторые новые модели поддерживают встроенный сервер RADIUS, но это можно использовать только для LEAP), это не рекомендуется, поскольку у большинства широко используемых маршрутизаторов едва ли достаточно ресурсов для выполнения своих основных задач. . Использование RADIUS может привести к значительному снижению производительности.
Если вы не хотите использовать физический компьютер, вы можете обмануть, превратив беспроводную точку доступа в сервер RADIUS.