Назад | Перейти на главную страницу

Могу ли я заставить маршрутизатор cisco работать как сервер радиуса?

Мне нужно настроить аутентификацию локального радиуса на моем маршрутизаторе cisco. У меня есть веб-приложение, в котором мы реализовали двухфакторную аутентификацию, оно отлично работает с другим сервером RADIUS, таким как freeRadius.

Мне удалось отправить Access-Request на маршрутизатор cisco, но маршрутизатор всегда отправляет обратно пакет Access-Reject.

показать текущую конфигурацию

aaa new-model
aaa session-id common

radius-server local
  no authentication mac
  nas 192.168.0.8 key 0 testing_new
  user test2 nthash 0 0CB6948805F797BF2A82807973B89537

!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new

Когда я бегу show radius local-server statistics я получил

Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Unknown NAS            : 16          Invalid packet from NAS: 11

NAS : 192.168.0.8
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Corrupted packet       : 0           Unknown RADIUS message : 6
No username attribute  : 1           Missing auth attribute : 0
Shared key mismatch    : 0           Invalid state attribute: 0
Unknown EAP message    : 0           Unknown EAP auth type  : 0
Auto provision success : 0           Auto provision failure : 0
PAC refresh            : 0           Invalid PAC received   : 0

Мне не удалось найти конфигурацию для своего случая, и я не знаю, возможно ли это? Любые идеи, что мне не хватает в моей конфигурации cisco?

Вам не хватает сервера. Нет, вы не можете установить маршрутизатор в качестве сервера. Локальная аутентификация - это не RADIUS. Весь смысл RADIUS заключается в использовании другой машины для аутентификации. IP-адрес, который вы установили radius-server host должен принадлежать серверу RAIDUS.

Даже если ваш маршрутизатор каким-то образом поддерживает это (некоторые новые модели поддерживают встроенный сервер RADIUS, но это можно использовать только для LEAP), это не рекомендуется, поскольку у большинства широко используемых маршрутизаторов едва ли достаточно ресурсов для выполнения своих основных задач. . Использование RADIUS может привести к значительному снижению производительности.

Если вы не хотите использовать физический компьютер, вы можете обмануть, превратив беспроводную точку доступа в сервер RADIUS.