FreeRADIUS使用了在Cisco IOS配置示例的管理访问

简介

本文描述如何用第三方RADIUS服务器(FreeRADIUS)配置在Cisco IOS交换机的RADIUS认证。此示例包括用户的安置直接地到权限15模式在认证。

先决条件

要求

保证您安排您的Cisco交换机被定义成客户端在FreeRADIUS用在FreeRADIUS和交换机和同一被共享的密钥定义的IP地址。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• FreeRADIUS
• Cisco IOS版本12.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

配置认证和授权的交换机

1. 为了用退路访问的充分的权限创建交换机的一个本地用户，请进入：
   

   Switch(config)#username admin privilege 15 password 0 cisco123!

2. 为了enable (event) AAA，进入：
   

   switch(config)# aaa new-model

3. 为了提供RADIUS服务器以及键的IP地址，请进入：
   

   switch# configure terminal
   switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
   switch(config)#radius-server key hello123

   
   

   Note:键必须匹配在交换机的RADIUS服务器配置的共有的秘密。

4. 为了测试RADIUS服务器可用性，请参与aaa命令的测试：
   

   switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

   
   测试认证失效与从服务器的拒绝，因为没有配置，但是确认服务器可及的。
5. 为了配置登录认证落回到本地用户，如果RADIUS是不可得到的，请进入：
   

   switch(config)#aaa authentication login default group radius local

6. 为了配置权限级别的授权的15，只要用户验证，请进入：
   

   switch(config)#aaa authorization exec default group radius if-authenticated

FreeRADIUS配置

定义FreeRADIUS服务器的客户端

1. 为了连接到配置目录，请进入：
   

   # cd /etc/freeradius

2. 为了编辑clients.conf文件，请进入：
   

   # sudo nano clients.conf

3. 为了添加主机名(路由器/交换机)确定的每个设备-，并且包括正确的共有的秘密，请进入：
   

   client 192.168.1.1 {
   secret = secretkey
   nastype = cisco
   shortname = switch
   }

4. 为了编辑用户文件，请进入：
   

   # sudo nano users

5. 添加每个用户允许访问设备。此示例展示如何设置Cisco IOS权限级别的15用户的“cisco”。
   

   cisco Cleartext-Password := "password"
          Service-Type = NAS-Prompt-User,
          Cisco-AVPair = "shell:priv-lvl=15"

6. 为了重新启动FreeRADIUS，请进入：
   

   # sudo /etc/init.d/freeradius restart

7. 为了更改在用户文件的默认用户组为了产生是cisco rw的成员每权限级别的15的所有用户，请进入：
   

   DEFAULT Group == cisco-rw, Auth-Type = System
           Service-Type = NAS-Prompt-User,
           cisco-avpair :="shell:priv-lvl=15"

8. 您在FreeRADIUS用户文件能添加其他用户在不同的权限级别当必要时。例如，产生此用户(生活)级别的3 (系统维护) ：
   

   sudo nano/etc/freeradius/users
   
   life  Cleartext-Password := "testing"
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:priv-lvl=3"
   
   Restart the FreeRADIUS service:
   sudo /etc/init.d/freeradius restart

Note:在本文的配置根据FreeRADIUS在Ubuntu 12.04 LTE运行和13.04。

验证

为了验证在交换机的配置，请使用这些命令：

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa           (Show the running AAA configuration)
switch# show startup-config Radius  (Show the startup AAA configuration in
start-up configuration)

故障排除

目前没有针对此配置的故障排除信息。