信息安全备忘录

学习&共享InfoSec知识

思科公司

使用免费Radius服务器TekRadius对Cisco Radius配置进行故障排除

通过约翰

2013年8月13日

将cisco 2960交换机配置为使用TekRadius作为Radius服务器进行身份验证和授权。身份验证部分还可以,但是尽管已在TekRadius中设置了priv-lvl = 15,但不能让用户直接进入启用模式:

步骤1:Cisco 2960配置

在Cisco 2960s上,配置:

aaa身份验证登录默认组半径本地

aaa身份验证启用默认组半径启用

aaa授权执行程序默认组半径本地 

半径服务器主机10.9.200.14身份验证端口1812 acct端口1646密钥cisco

步骤2:TekRADIUS LT服务器配置

在TekRadius服务器上,添加三个属性:

属性类型值
UserPassword检查密码
cisco-avpair回复​​shell:priv-lvl = 15
服务类型reply NAS-Prompt

  • 用户密码,检查类型,值是用户密码
  • 思科公司-avpair,成功回复类型,值为shell:priv-lvl = 15
  • 服务类型,成功回复类型,值为NAS提示

步骤3疑难排解: 

在Cisco Switch 2960s上启用调试

调试aaa身份验证调试aaa授权调试半径

*简 6 01:41:42.421:%SEC-6-IPACCESSLOGP:允许列表101 TCP 10.9.200.14(58485)->0.0.0.0(22),1包
*简 6 01:41:42.652:AAA / BIND(00000073):绑定i / f
*简 6 01:41:42.652:AAA / AUTHEN / LOGIN(00000073):选择方法列表“默认”
*简 6 01:41:42.652:RADIUS / ENCODE(00000073):询问“密码:”
*简 6 01:41:42.652:RADIUS / ENCODE(00000073):原始组件类型= EXEC
*简 6 01:41:42.652:RADIUS / ENCODE(00000073):删除服务类型,“ radius-server属性6 上 -for-login-auth”关闭
*简 6 01:41:42.652:RADIUS(00000073):配置NAS IP:0.0.0.0
*简 6 01:41:42.652:RADIUS / ENCODE(00000073):acct_session_id:804
*简 6 01:41:42.652:RADIUS(00000073):发送
*简 6 01:41:42.657:RADIUS / ENCODE:Radius服务器10.9.200.14的最佳本地IP地址10.9.200.11
*简 6 01:41:42.657:RADIUS(00000073):将访问请求发送到10.9.200.14:1812 id 1645/6,len 94
*简 6 01:41:42.657:RADIUS: 认证方D0 DC 3F 5D 42 8B 88 B4 – 8F 6F C1 A4 57 3B 03 5A
*简 6 01:41:42.657:RADIUS: User-Name           [1]   6   “john”
*简 6 01:41:42.657:RADIUS: Reply-Message       [18]  12
*简 6 01:41:42.657:RADIUS: 50 61 73 73 77 6F 72 64 3A 20       [ Password: ]
*简 6 01:41:42.657:RADIUS: User-Password       [2]   18  *
*简 6 01:41:42.657:RADIUS: NAS-Port            [5]   6   2                      
*简 6 01:41:42.657:RADIUS: NAS-Port-Id         [87]  6   “tty2”
*简 6 01:41:42.657:RADIUS: NAS-Port-Type       [61]  6   Virtual                   [5]
*简 6 01:41:42.657:RADIUS: Calling-Station-Id  [31]  14  “10.9.200.14”
*简 6 01:41:42.657:RADIUS: NAS-IP-Address      [4]   6   10.9.200.11            
*简 6 01:41:42.657:RADIUS(00000073):开始5秒超时
*简 6 01:41:42.678:RADIUS:从id 1645/6 10.9.200.14:1812接收,访问接受,len 51
*简 6 01:41:42.683:RADIUS: 身份验证器13 17 D3 26 DD 33 00 94 – 5B 16 E5 9B EA 5F F4 94
*简 6 01:41:42.683:RADIUS: Vendor, 思科公司       [26]  25
*简 6 01:41:42.683:RADIUS:  思科公司 AVpair       [1]   19  “shell:priv-lvl=15”
GDCM-CSWP2003#
*简 6 01:41:42.683:RADIUS: Service-Type        [6]   6   NAS Prompt                [7]
*简 6 01:41:42.683:RADIUS(00000073):从ID 1645/6接收
*简 6 01:41:42.709:AAA /作者(00000073): 未配置方法列表id = 0。跳过作者

步骤4:解决方案

快速搜索后,发现缺少授权命令:

行vty 0 4授权执行AUTH

aaa授权执行程序默认组半径

输入这些命令后,现在效果很好。

————————————

(配置)#
*简 6 01:46:48.002:%SEC-6-IPACCESSLOGP:允许列表101 TCP 10.9.200.14(58484)->0.0.0.0(22),1包
*简 6 01:46:48.002:%SEC-6-IPACCESSLOGP:允许列表101 TCP 10.9.200.14(58485)->0.0.0.0(22),1包
GDCM-CSWP2003(config)#
*简 6 01:46:54.745:%SEC-6-IPACCESSLOGP:允许列表101 tcp 10.9.200.14(58488)->0.0.0.0(22),1包
*简 6 01:46:54.986:AAA / BIND(00000074):绑定i / f
*简 6 01:46:54.986:AAA / AUTHEN / LOGIN(00000074):选择方法列表“默认”
*简 6 01:46:54.986:RADIUS / ENCODE(00000074):询问“密码:”
*简 6 01:46:54.986:RADIUS / ENCODE(00000074):原始组件类型= EXEC
*简 6 01:46:54.986:RADIUS / ENCODE(00000074):删除服务类型,“ radius-server属性6 上 -for-login-auth”处于关闭状态
*简 6 01:46:54.986:RADIUS(00000074):配置NAS IP:0.0.0.0
*简 6 01:46:54.986:RADIUS / ENCODE(00000074):acct_session_id:811
*简 6 01:46:54.986:RADIUS(00000074):发送
*简 6 01:46:54.986:RADIUS / ENCODE:Radius服务器10.9.200.14的最佳本地IP地址10.9.200.11
*简 6 01:46:54.986:RADIUS(00000074):将访问请求发送到10.9.200.14:1812 id 1645/7,len 94
*简 6 01:46:54.986:RADIUS: 认证方EF 99 98 AD D5 BC BA E7 – 86 24 59 93 C3 B3 FF 3A
*简 6 01:46:54.986:RADIUS: User-Name           [1]   6   “john”
*简 6 01:46:54.986:RADIUS: Reply-Message       [18]  12
*简 6 01:46:54.986:RADIUS: 50 61 73 73 77 6F 72 64 3A 20       [ Password: ]
*简 6 01:46:54.986:RADIUS: User-Password       [2]   18  *
*简 6 01:46:54.986:RADIUS: NAS-Port            [5]   6   2                      
*简 6 01:46:54.991:RADIUS: NAS-Port-Id         [87]  6   “tty2”
*简 6 01:46:54.991:RADIUS: NAS-Port-Type       [61]  6   Virtual                   [5]
*简 6 01:46:54.991:RADIUS: Calling-Station-Id  [31]  14  “10.9.200.14”
*简 6 01:46:54.991:RADIUS: NAS-IP-Address      [4]   6   10.9.200.11            
*简 6 01:46:54.991:RADIUS(00000074):开始5秒超时
*简 6 01:46:55.002:RADIUS:Received from id 1645/7 10.9.200.14:1812, Access-Accept, len 51
*简 6 01:46:55.002:RADIUS: 身份验证器64 86 20 C2 B9 D4 32 24 – D8 24 1C 41 64 85 BF 20
*简 6 01:46:55.002:RADIUS: Vendor, 思科公司       [26]  25
*简 6 01:46:55.002:RADIUS:  思科公司 AVpair       [1]   19  “shell:priv-lvl=15”
GDCM-CSWP2003(config)#
*简 6 01:46:55.002:RADIUS: Service-Type        [6]   6   NAS Prompt                [7]
*简 6 01:46:55.002:RADIUS(00000074):从ID 1645/7接收
*简 6 01:46:55.028:AAA / AUTHOR / EXEC(00000074):处理AV priv-lvl = 15
*简 6 01:46:55.028:AAA / AUTHOR / EXEC(00000074):正在处理AV服务类型= 7
*简 6 01:46:55.028:AAA / AUTHOR / EXEC(00000074):授权成功

通过 约翰

相关文章

思科公司

ISE学习笔记

2019年12月27日 约翰扬
思科公司

将Cisco Enterprise Access Point 1142N配置为家庭AP

2018年11月22日 约翰
思科公司 安全

思科Web安全设备S190 – Web GUI

2018年11月1日 约翰扬

发表评论

你错过了

云flare防火墙配置示例

2020年12月6日 约翰
威胁搜寻

DarkTrace调查步骤

2020年12月3日 约翰
博客

使用Cloudflare和ShaerX在BackBlaze B2中创建自己的Cloud Photo存储站点

2020年12月2日 约翰
赛博方舟 安全

Cyber​​Ark EPM从V11.0升级到V11.5

2020年11月30日 Nishant Srivastava