Cisco IOS és FreeRadius

Hálózatok egyéb

Hali mindenki,

Találkozott már valaki ezzel a párosítással? A cél: az IOS-be való belépéskor az authentikációt FreeRadius végezze, illetve legyen 2 csoport az egyik csak level 1-en azaz ne tudjon Enable módbe jutni a másik csoport meg egyből 15ön azaz Enable legyen.
Jelenlegi helyezt: eljutottam, oda, hogy a FreeRadius-felel a dolgokért, de nem tudom az Enable-módot kiosztani egy csoportnak vagy akár egy user-nek.

Ezt mondja a Cisco:

"There is no command to enable RADIUS exec authorization. The alternative is to set the Service-Type (RADIUS attribute 6) to Administrative (a value of 6) in the RADIUS server to launch the user into enable mode in the RADIUS server. If the service-type is set for anything other than 6-administrative (for example, 1-login, 7-shell, or 2-framed), the user arrives at the switch exec prompt, but not the enable prompt."

Így néz ki a users file -sql a végső cél de users-ben egyszerűbb egyenlőre :)-

pista Auth-Type := Local, User-Password := "test"
Service-Type = Shell-User,
Cisco-AVPair = "shell:priv-lvl=15"

A Service-Type viszont érdekes mert erre a Shell-User-re adja vissza a radtest, hogy Service-Type = Administrative-User....
Ééérdekes, mindenesetre az IOS nagy ívben lesz@rja, hogy mi van ott, ígyis-úgyis level 1-be érkezik pista user és csak az enable parancs + jelszó után lesz 15ben :( ja és természetesen ha a Cisco-AVPair = "shell:priv-lvl=1" et használom akkor is uez a helyzet :-S szóóval nemértem...

Előre is köszönet a segítségért, már ha akad valaki aki próbálkozott már ilyennel.

  • 1726 megtekintés

( dales | 2009. 04. 02., cs – 10:17 )

Nálam ugyanez a helyzet...
viszont érdekes nem minden Cisco eszköznél van ez így?
ötlet?

A fenti users file jónak néz ki, nekem több helyen is igy működik. A hiba a cisco oldalon lehet, szerintem nincs authorizáció a vty-n. Valami ilyesmi kéne neked:

aaa authentication login RAD_AUTH group radius local
aaa authorization exec RAD_AUTH group radius local

line vty 0 4
authorization exec RAD_AUTH
login authentication RAD_AUTH

( hrgy84 | 2009. 04. 02., cs – 10:34 )

Hu, en egyszer baromi regen lattam mar ilyent, de az mar baromi regen volt.

Esetleg probald meg a users fajlban (vagy annak SQL-es megfelelojeben, mar nem emlexem, mi az) fixre beloni, hogy az adott csoportnak a Service-Type Administrative legyen. Sztem talan az lehet a gond, hogy a Administrative != Administrative-User.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.