О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Авторизация Radius на ESR

MES, ESR
Dezya
Сообщения: 3
Зарегистрирован: 01 июн 2019 11:56
Reputation: 0

Авторизация Radius на ESR

Сообщение Dezya » 01 июн 2019 12:29

Добрый день!

Не могу добиться от ESR1200 корректного уровня привилегий для пользователя, подключающегося через Radius.

Код: Выделить всё

aaa authentication login VTY radius local
aaa authentication enable VTY_ENABLE radius enable
aaa accounting login start-stop radius
aaa authentication attempts max-fail 3 60
radius-server host 10.0.0.2
  key ascii-text encrypted 88B11079B9014FAFF7B9
  source-address 10.0.0.1
exit
line ssh
  login authentication VTY
  enable authentication VTY_ENABLE
exit


Radius :

Код: Выделить всё

test     Cleartext-Password := "test"
        Service-Type = Administrative-User,
        Cisco-AVPair = "shell:priv-lvl=5",
        Reply-Message = "Hello!"


А получается в любом случае 1 уровень:

Код: Выделить всё

ESR1200> sh users
User name              Logged in at        Host                   Timers Login/Priv   level   
--------------------   -----------------   --------------------   -----------------   -----   
admin                  01/06/19 14:54:14   10.0.0.3           00:29:34/00:00:00   15     
test                    01/06/19 15:12:50   10.0.0.3           00:29:57/00:00:00   1   


Такая же конфигурация без нареканий используется для MES2324. Прошу совета.

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: Авторизация Radius на ESR

Сообщение leonid_zarkov » 03 июн 2019 09:15

Просьба сообщить версию ПО маршрутизатора.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

Dezya
Сообщения: 3
Зарегистрирован: 01 июн 2019 11:56
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение Dezya » 03 июн 2019 16:26

ESR-1200
Boot version:
1.4.1.198 (date 19/11/2018 time 14:22:56)
SW version:
1.4.4 build 8[4bd3714d6f] (date 15/01/2019 time 20:18:53)
HW version:
1v3

Такая же ситуация на ESR-100
Boot version:
1.4.1.92 (date 19/11/2018 time 16:35:52)
SW version:
1.4.4 build 4[4bd3714d6f] (date 15/01/2019 time 17:25:16)
HW version:
1v7

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: Авторизация Radius на ESR

Сообщение leonid_zarkov » 07 июн 2019 11:15

Вероятно, недоступен RADIUS сервер, т.к. с данной конфигурацией атрибут обрабатывается корректно.

В конфиграции у Вас два метода для аутентификации: RADIUS и Local:
aaa authentication login VTY radius local

Если недоступен RADIUS сервер, то будет использоваться следующий по списку метод аутентификации и вероятно username test у вас есть в local с уровнем привелегии 1 (значение по умолчанию).

Необходимо проверить доступность RADIUS сервера и корректность его конфигурации.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

Dezya
Сообщения: 3
Зарегистрирован: 01 июн 2019 11:56
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение Dezya » 09 июн 2019 14:54

leonid_zarkov писал(а):Если недоступен RADIUS сервер, то будет использоваться следующий по списку метод аутентификации и вероятно username test у вас есть в local с уровнем привелегии 1 (значение по умолчанию).


Это было бы слишком просто. В конфигурации нет пользователей.

Дебаг Radius сервера показывает нормальную работу сервера:

Код: Выделить всё

(2) Received Access-Request Id 39 from 172.16.221.1:58723 to 10.221.0.224:1812 length 110
(2)   User-Name = "svp"
(2)   User-Password = "Ghbdtn"
(2)   NAS-Identifier = "ssh"
(2)   NAS-Port = 19060
(2)   NAS-Port-Type = Virtual
(2)   Service-Type = Administrative-User
(2)   Cisco-AVPair = "shell:priv-lvl=1"
(2)   Calling-Station-Id = "10.221.0.224"
(2)   NAS-IP-Address = 172.16.221.1
...
(2)   Auth-Type PAP {
(2) pap: Login attempt with password
(2) pap: Comparing with "known good" Cleartext-Password
(2) pap: User authenticated successfully
(2)     [pap] = ok
(2)   } # Auth-Type PAP = ok
...
(2) Sent Access-Accept Id 39 from 10.221.0.224:1812 to 172.16.221.1:58723 length 0
(2)   Service-Type = Administrative-User
(2)   Cisco-AVPair = "shell:priv-lvl=5"
(2)   Reply-Message = "?"
(2) Finished request


При этом те же запросы работают для пользователя $enab15$ при входе в enable. Такие же запросы работают в MES.

Можно ли выбирать протокол или поддерживается только PAP?

SmalleR
Сообщения: 11
Зарегистрирован: 18 дек 2018 18:42
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение SmalleR » 10 июн 2019 14:03

Можно посмотреть обмен пакетами между ESR и Radius сервером:
Из документации:
Есть ли функционал в маршрутизаторах серии ESR для анализа трафика?
В маршрутизаторах серии ESR реализована возможность анализировать трафик на
интерфейсах из CLI. Сниффер запускается командой monitor.


Можно выбрать протокол, порт и использовать прочие фильтры.

drewbinsky
Сообщения: 3
Зарегистрирован: 24 апр 2023 15:42
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение drewbinsky » 24 апр 2023 15:51

вам следует отремонтировать или заменить пульт дистанционного управления или сам цифровой преобразователь eggy car

timothyferriss
Сообщения: 2
Зарегистрирован: 24 апр 2023 15:47
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение timothyferriss » 24 апр 2023 15:57

попробуйте использовать другой сервер RADIUS или настройте ESR1200 для локальной аутентификации пользователей blossom word game

Phantom32
Сообщения: 4
Зарегистрирован: 26 апр 2023 18:05
Reputation: 0

Re: Авторизация Radius на ESR

Сообщение Phantom32 » 27 апр 2023 11:59

У меня так.(MES2324)
Имена оборудования вида ELT-EQ-SW-<num> или ELT-EQ-DISTR или ELT-EQ-CORE
Аутентификация доменная. Пользователи eng_one или eng_two.

Код: Выделить всё

/etc/raddb/sites-enabled/default (post-auth)
if (((&User-Name == "eng_one") || (&User-Name == "eng_two")) && ((&NAS-Identifier =~ /^ELT-EQ-[O,C,S,W,D,I,E,S,T,R]{2,5}-[0-9]{1,3}/) || (&NAS-Identifier =~ /^ELT-EQ-[O,C,S,D,I,E,S,T,R]{2,5}/))){
                        update reply {
                                Service-Type = NAS-Prompt-User
                                Cisco-AVPair = "shell:priv-lvl=15"
                        }
                }


15 уровень даёт нормальный enable. У меня всё работает тут.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 20 гостей