Дружим cisco с радиус сервером

Easy Subnetting
08.02.2017

Дружим cisco с радиус сервером

Дружим cisco с радиус сервером

Дружим cisco с радиус сервером

Статей по тому, как подружить радиус сервер с cisco достаточно много на просторах интернета, но начав настраивать, столкнулся с небольшой задачкой. По умолчанию циска начинает лезть на радиус сервер и искать пользователя на нем, и если не обнаруживает пользователя, то шлет отбой. Для того что бы пользователь подгрузился из локальной базы, надо чтобы радиус сервер стал не доступен.А если нам надо залогиниться из-под локального пользователя cisco? Не отключать же нам ради такой цели радиус, особенно если он задействован не только для аутентификации пользователей нашей киски, но и для других целей…

Выход есть. Надо всего лишь поменять логику обработки пользователей для аутентификации, чтобы сначала парсилась локальная база, а потом, в случае не обнаружения в ней нужного пользователя, cisco ломилась на Radius server.

Для начала скажем что у нас используется группа серверов radius, это делается для того чтобы в AAA указать что используется и локальная база и радиус сервер, но к сожалению на моей версии IOS нельзя было указать отдельный параметр radius server, только в группе.

aaa group server radius vty  #указываем использовать группу серверов radius с именем «vty»
server 192.168.20.176 auth-port 1812 acct-port 1813  #указываем адрес сервера, и рабочие порты

Далее указываем, с какого интерфейса циска будет ломиться на радиус, делаем это ради безопасности, не забыв при этом указать в конфиге радиус сервера IP адреса, с которых к нему можно подключаться.

ip radius source-interface GigabitEthernet1/0/1  #указываем сорс порт
radius-server host 192.168.20.125 auth-port 1812 acct-port 1813 #параметры сервера
radius-server key <key>  #ключ аутентификации радиус сервера.

Далее указываем параметры AAA для авторизации:

aaa authentication login NAS local group vty   #указываем группу аутентификации с именем NAS(Network Authentication Server) и указываем использовать локальную базу пользователей и группу серверов с именем «vty»

И наконец, прописываем параметры аутентификации на нужные консоли.

line vty 0 4
login authentication NAS

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *