Strona 1 z 1
Autentykacja RADIUS + lokalna
: 02 wrz 2009, 10:03
autor: ben.
Witam.
Mam na routerze włączona autentykacje by RADIUS.
Kod: Zaznacz cały
aaa authentication login default group tacacs+ enable
Chce też móc logować sie by ssh też na użytkowników utworzonych lokalnie.
tworze sobie lokalnie takiego usera
jednak nie mogę się zalogować by ssh
ustawienia vty:
Kod: Zaznacz cały
line vty 0 4
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input ssh
czy jest możliwe żeby działały dwa sposoby autentykacji ?
EDIT: Do listingow konfiguracji, show, debug, etc uzywamy znacznikow
Re: Autentykacja RADIUS + lokalna
: 02 wrz 2009, 10:10
autor: drake
ben. pisze:
czy jest możliwe żeby działały dwa sposoby autentykacji ?
Hej,
zapoznaj sie z tym dokumentem
Cisco AAA
a szybko sam sobie poradzisz. Mozna konfigurowac rozne metody uwierzytelniania i autoryzacji uzytkownikow oddzielnie np. do dostepu do sieci, do zarzadzania routerem, etc. Btw, radius i tacacs to dwa osobne protokoly... Po zapoznaniu sie z linkiem powiniens dac rade z konfiguracja
Pozdruffka!!
: 02 wrz 2009, 16:33
autor: ciul
Kod: Zaznacz cały
aaa authentication login default local group tacacs+
lub
Kod: Zaznacz cały
aaa authentication login default group tacacs+ local
w zależności od tego czy chcesz aby najpierw była odpytywana lokalna baza użytkowników czy najpierw tacacs
: 03 wrz 2009, 16:01
autor: TomFil
Witam,
Z tą drugą konfiguracją trzeba trochę uważać - przynajmniej w przypadku RADIUS'a. Miałem kiedyś taką konfigurację, że router autentykował dostęp w sewerze RSA a serwer był "za morzem" ,tzn. nie zawsze dostępny.
Gdy nie był dostępny i nie odpowiadał, nie było sposobu, żeby zalogować się na router. Może był tam jakiś brak w konfiguracji (była raczej dość podstawowa) ale co pamiętam z tamtej przygody to to żeby umieszczać local przed group.
Warto o tym pamiętać jak nie będzie można się zalogować na urządzenie i nie będzie wiadomo dlaczego (jest konto lokalne i znamy do niego hasło a router mówi "e-e, nie wejdziesz").
Pozdrawiam
Tomi
: 04 wrz 2009, 23:00
autor: kt
TomFil pisze:Z tą drugą konfiguracją trzeba trochę uważać - przynajmniej w przypadku RADIUS'a. Miałem kiedyś taką konfigurację, że router autentykował dostęp w sewerze RSA a serwer był "za morzem" ,tzn. nie zawsze dostępny.
Gdy nie był dostępny i nie odpowiadał, nie było sposobu, żeby zalogować się na router. Może był tam jakiś brak w konfiguracji (była raczej dość podstawowa) ale co pamiętam z tamtej przygody to to żeby umieszczać local przed group.
Tak powinno być chyba nie wtedy, gdy serwer autentykacji 'za morzem' jest niedostępny (bo wtedy autentykuje po kolejnej metodzie z listy), a wtedy, kiedy jest dostępny, ale zwrócił odmowę dostepu dla podanych credentiali.
: 05 wrz 2009, 01:29
autor: okoo
Tak podpinajac sie pod ten watek, to ja kiedys mialem problem, mianowicie na routerze byl VPN RA, no i dzialalo to w ten sposob ze user vpn mogl sie zalogowac przez ssh, co wiadomo bzdura, poradzilem sobie w ten sposob ze vpn zrobilem autentykacje z radiusa, ale jestem ciekaw czy da sie zrobic tak ze zarowno vpn jak i ssh korzystaja z lokalnej bazy ale da sie okreslic ktory user moze logowac sie przez ssh
: 05 wrz 2009, 10:04
autor: rimowals
kt pisze:Tak powinno być chyba nie wtedy, gdy serwer autentykacji 'za morzem' jest niedostępny (bo wtedy autentykuje po kolejnej metodzie z listy), a wtedy, kiedy jest dostępny, ale zwrócił odmowę dostepu dla podanych credentiali.
Dokladnie tak to powinno dzialac - serwer niedostepny to bierzemy kolejna metode uwierzytelniania, dostepny, ale zwracajacy odmowe dostepu - kolejna metoda nie jest sprawdzana.