После настройки моих устройств Cisco я получил базовый уровень функциональности, позволяющий аутентифицировать пользователей, которые входят в коммутаторы 3Com, аутентифицированные на сервере RADIUS. Проблема в том, что я не могу заставить пользователя получить права администратора. Я использую службу Microsoft IAS. Согласно документации 3Com, при настройке политики доступа на IAS необходимо использовать значение 010600000003 для указания уровня доступа администратора. Это значение необходимо ввести в разделе профиля дозвона:
010600000003 - indicates admin privileges 010600000002 - manager 010600000001 - monitor 010600000000 - visitor
Вот конфигурация коммутатора:
radius scheme system server-type standard primary authentication XXX.XXX.XXX.XXX accounting optional key authentication XXXXXX key accounting XXXXXX # domain system scheme radius-scheme system # local-user admin service-type ssh telnet terminal level 3 local-user manager service-type ssh telnet terminal level 2 local-user monitor service-type ssh telnet terminal level 1
Конфигурация работает с сервером IAS, потому что я могу проверять события входа в систему с помощью инструмента Eventviewer.
Вот результат выполнения команды DISPLAY RADIUS на коммутаторе:
[4500]disp radius ------------------------------------------------------------------ SchemeName =system Index=0 Type=standard Primary Auth IP =XXX.XXX.XXX.XXX Port=1645 State=active Primary Acct IP =127.0.0.1 Port=1646 State=active Second Auth IP =0.0.0.0 Port=1812 State=block Second Acct IP =0.0.0.0 Port=1813 State=block Auth Server Encryption Key= XXXXXX Acct Server Encryption Key= XXXXXX Accounting method = optional TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12 Permitted send realtime PKT failed counts =5 Retry sending times of noresponse acct-stop-PKT =500 Quiet-interval(min) =5 Username format =without-domain Data flow unit =Byte Packet unit =1 ------------------------------------------------------------------ Total 1 RADIUS scheme(s). 1 listed
Вот результат выполнения команд DISPLAY DOMAIN и DISPLAY CONNECTION после входа пользователей в коммутатор:
[4500]display domain 0 Domain = system State = Active RADIUS Scheme = system Access-limit = Disable Domain User Template: Idle-cut = Disable Self-service = Disable Messenger Time = Disable Default Domain Name: system Total 1 domain(s).1 listed. [4500]display connection Index=0 ,Username=admin@system IP=0.0.0.0 Index=2 ,Username=user@system IP=xxx.xxx.xxx.xxx On Unit 1:Total 2 connections matched, 2 listed. Total 2 connections matched, 2 listed. [4500]
Вот СТАТИСТИКА РАДИУСА DISP:
[4500]
%Apr 2 00:23:39:957 2000 4500 SHELL/5/LOGIN:- 1 - ecajigas(xxx.xxx.xxx.xxx) in un it1 logindisp radius stat
state statistic(total=1048):
DEAD=1046 AuthProc=0 AuthSucc=0
AcctStart=0 RLTSend=0 RLTWait=2
AcctStop=0 OnLine=2 Stop=0
StateErr=0
Received and Sent packets statistic:
Unit 1........................................
Sent PKT total :4 Received PKT total:1
Resend Times Resend total
1 1
2 1
Total 2
RADIUS received packets statistic:
Code= 2,Num=1 ,Err=0
Code= 3,Num=0 ,Err=0
Code= 5,Num=0 ,Err=0
Code=11,Num=0 ,Err=0
Running statistic:
RADIUS received messages statistic:
Normal auth request , Num=1 , Err=0 , Succ=1
EAP auth request , Num=0 , Err=0 , Succ=0
Account request , Num=1 , Err=0 , Succ=1
Account off request , Num=0 , Err=0 , Succ=0
PKT auth timeout , Num=0 , Err=0 , Succ=0
PKT acct_timeout , Num=3 , Err=1 , Succ=2
Realtime Account timer , Num=0 , Err=0 , Succ=0
PKT response , Num=1 , Err=0 , Succ=1
EAP reauth_request , Num=0 , Err=0 , Succ=0
PORTAL access , Num=0 , Err=0 , Succ=0
Update ack , Num=0 , Err=0 , Succ=0
PORTAL access ack , Num=0 , Err=0 , Succ=0
Session ctrl pkt , Num=0 , Err=0 , Succ=0
RADIUS sent messages statistic:
Auth accept , Num=0
Auth reject , Num=0
EAP auth replying , Num=0
Account success , Num=0
Account failure , Num=0
Cut req , Num=0
RecError_MSG_sum:0 SndMSG_Fail_sum :0
Timer_Err :0 Alloc_Mem_Err :0
State Mismatch :0 Other_Error :0
No-response-acct-stop packet =0
Discarded No-response-acct-stop packet for buffer overflow =0
Другая проблема заключается в том, что когда сервер RADIUS недоступен, я не могу войти в коммутатор. У коммутатора есть 3 локальных аккаунта, но ни одна из них не работает. Как я могу указать переключатель для использования локальных учетных записей, если служба RADIUS недоступна?
Мы можем войти в 3coms 45 и 55, используя аутентификацию SSH и RADIUS, хотя настройка с IAS немного затруднительна.
Аутентификация RADIUS с локальным аварийным переключением
Вот конфигурация, которая работает на SW5500.
sysname 5500-SI
#
password-control length 4
password-control history 2
password-control login-attempt 3 exceed lock-time 120
#
super password level 3 simple password
#
local-server nas-ip 127.0.0.1 key 3com
#
domain default enable 3comdevicelogin
#
dot1x
dot1x timer tx-period 10
dot1x timer handshake-period 1024
dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
server-type standard
primary authentication 152.67.101.23
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
server-type extended
primary authentication 152.67.101.39
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
domain 3comdevicelogin
scheme radius-scheme 3ComDeviceLogin local
domain apsc
scheme radius-scheme 3comapsc
domain system
#
local-user admin
service-type ssh telnet terminal
level 3
password-control aging 90
local-user manager
service-type ssh telnet terminal
level 2
local-user monitor
service-type ssh telnet terminal
level 1
#