nixp.ru v3.0

20 октября 2017,
пятница,
00:58:54 MSK

DevOps с компанией «Флант»
intellegent написал 23 августа 2006 года в 10:37 (1479 просмотров) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 13 комментариев на сайте.

Господа, не дайте погибнуть, лучше назовите меня идиотом :) Ниже приведу лог free radius сервера, а проблема такова — настроил cisco catalyst на аутентификацию на радиус сервере и на циске и на серваке завел юзера, указал логин, пароль. Далее на сервере завел клиента, указал ип адрес циски и ключ. На вскидку в конфах все нормально, все настройки самого сервера из коробки, т.е. по дефолту. Теперь начинаем процесс аутентификации, смотрю что происходит на серваке — видно что циска на сервак ломится, ключ корректный, далее циска отправляет пару логин/пароль сервак пытается их проверить и почему-то говорит, что аутентифиуаиця не пройдена, неверный логин? зотя логин точно верный, как и пароль. Почему он это говорит??? Вот лог с сервака:

Nothing to do. Sleeping until we see a request.

rad_recv: Access-Request packet from host 172.17.17.211:1812, id=3, length=77

NAS-IP-Address = 172.17.17.211

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = «cisco»

Calling-Station-Id = «172.17.18.62»

User-Password = «lancer»

Processing the authorize section of radiusd.conf

modcall: entering group authorize for request 10

modcall[authorize]: module «preprocess» returns ok for request 10

modcall[authorize]: module «chap» returns noop for request 10

modcall[authorize]: module «mschap» returns noop for request 10

rlm_realm: No '@' in User-Name = «cisco», looking up realm NULL

rlm_realm: No such realm «NULL»

modcall[authorize]: module «suffix» returns noop for request 10

rlm_eap: No EAP-Message, not doing EAP

modcall[authorize]: module «eap» returns noop for request 10

users: Matched entry cisco at line 53

modcall[authorize]: module «files» returns ok for request 10

modcall: group authorize returns ok for request 10

auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user

auth: Failed to validate the user.

Login incorrect: [cisco/lancer] (from client chlm-test-danilov port 1 cli 172.17.18.62)

Genie

ни один модуль авторизации не вернул ответа «Авторизован»

смотри настройки уже их — chap, pap, eap…

intellegent

Включен и РАР и СНАР, причем поставил в РАР тип cleartext, однако ситуация не поменялась, чиьал Wiki на сайте разработчиков, вот что они предлагают:

IOS 12.x

For Cisco 12.x ( 12.0 and 12.1 ), the following AAA configuration directives are suggested:

aaa new-model

aaa authentication login default group radius local

aaa authentication login localauth local

aaa authentication ppp default if-needed group radius local

aaa authorization exec default group radius local

aaa authorization network default group radius local

aaa accounting delay-start

aaa accounting exec default start-stop group radius

aaa accounting network default start-stop group radius

aaa processes 6

this configuration works very well with most radius servers. One of the more important configurations is:

aaa accounting delay-start

This directive will delay the sending of the Accounting Start packet until after an IP address has been assigned during the PPP negotiation process. This will supersede the need to enable the sending of «Alive» packets as described below for IOS versions 11.x

* NOTE* with the above it will use the radius server to authenticate

your inbound 'telnet' connections. You will need to create an entry in your users file similar to the following to allow access:

!root User-Password == «somepass»

Service-Type = NAS-Prompt-User

This will let a user in for the first level of access to your Cisco. You will still need to 'enable' ( using the locally configured enable secret ) to perform any configuration changes or anything requiring a higher level of access. The username '!root' was used as an example here, you can make this any username you want, of course.

А про Auth-Type (т.е. способ аутентификации ) ни слова, циска вообще как рыба об лед, ей видимо пофиг и нафиг какие там РАР или СНАР :)) Все это смешно, если бы не было так грустно…