Я хочу настроить Radius на одном из моих серверов Win2k3 Server, чтобы проверить аутентификацию маршрутизатора Cisco на нем.
Именно так я сейчас настраиваю свое оборудование cisco. Чтобы ответить на ваши вопросы
Нет, это не обязательно должен быть контроллер домена, я не могу придумать ничего убедительного за / против. У меня есть мой на DC, локальном для оборудования, потому что а) они уже выполняют аутентификацию, а для аутентификации сетевого оборудования вы не добавите столько нагрузки, и б) в то время действительно некуда было его разместить.
Нет, не вызовет перезагрузку или запуск / остановку служб
Первая направляющая выглядит довольно точно со стороны окна. Ниже приведен пример кода из моих конфигураций для запуска cisco.
Одна вещь, которую вы хотите сделать, - это убедиться, что у вас есть локальные учетные записи, к которым вы можете вернуться, когда ваш сервер RADIUS недоступен. и убедитесь, что у вас есть активный сеанс консоли, для которого не установлен тайм-аут при настройке. Вы можете легко заблокировать себя от маршрутизатора во время настройки.
aaa new-model
aaa authentication login default group radius local
radius-server host <server_ip/name> auth-port 1812 acct-port 1813 key <encrypted_shared_key>
Обратите особое внимание на сопоставление подстановочных знаков для ваших политик, поскольку именно так вы можете иметь несколько политик в одной группе для разных хостов. если вы не ограничиваете их, любое совпадение 'allow' предоставит доступ к ресурсу.