Страница 1 из 1
Авторизация Radius на ESR
Добавлено: 01 июн 2019 12:29
Dezya
Добрый день!
Не могу добиться от ESR1200 корректного уровня привилегий для пользователя, подключающегося через Radius.
Код: Выделить всё
aaa authentication login VTY radius local
aaa authentication enable VTY_ENABLE radius enable
aaa accounting login start-stop radius
aaa authentication attempts max-fail 3 60
radius-server host 10.0.0.2
key ascii-text encrypted 88B11079B9014FAFF7B9
source-address 10.0.0.1
exit
line ssh
login authentication VTY
enable authentication VTY_ENABLE
exit
Radius :
Код: Выделить всё
test Cleartext-Password := "test"
Service-Type = Administrative-User,
Cisco-AVPair = "shell:priv-lvl=5",
Reply-Message = "Hello!"
А получается в любом случае 1 уровень:
Код: Выделить всё
ESR1200> sh users
User name Logged in at Host Timers Login/Priv level
-------------------- ----------------- -------------------- ----------------- -----
admin 01/06/19 14:54:14 10.0.0.3 00:29:34/00:00:00 15
test 01/06/19 15:12:50 10.0.0.3 00:29:57/00:00:00 1
Такая же конфигурация без нареканий используется для MES2324. Прошу совета.
Re: Авторизация Radius на ESR
Добавлено: 03 июн 2019 09:15
leonid_zarkov
Просьба сообщить версию ПО маршрутизатора.
Re: Авторизация Radius на ESR
Добавлено: 03 июн 2019 16:26
Dezya
ESR-1200
Boot version:
1.4.1.198 (date 19/11/2018 time 14:22:56)
SW version:
1.4.4 build 8[4bd3714d6f] (date 15/01/2019 time 20:18:53)
HW version:
1v3
Такая же ситуация на ESR-100
Boot version:
1.4.1.92 (date 19/11/2018 time 16:35:52)
SW version:
1.4.4 build 4[4bd3714d6f] (date 15/01/2019 time 17:25:16)
HW version:
1v7
Re: Авторизация Radius на ESR
Добавлено: 07 июн 2019 11:15
leonid_zarkov
Вероятно, недоступен RADIUS сервер, т.к. с данной конфигурацией атрибут обрабатывается корректно.
В конфиграции у Вас два метода для аутентификации: RADIUS и Local:
aaa authentication login VTY radius local
Если недоступен RADIUS сервер, то будет использоваться следующий по списку метод аутентификации и вероятно username test у вас есть в local с уровнем привелегии 1 (значение по умолчанию).
Необходимо проверить доступность RADIUS сервера и корректность его конфигурации.
Re: Авторизация Radius на ESR
Добавлено: 09 июн 2019 14:54
Dezya
leonid_zarkov писал(а):Если недоступен RADIUS сервер, то будет использоваться следующий по списку метод аутентификации и вероятно username test у вас есть в local с уровнем привелегии 1 (значение по умолчанию).
Это было бы слишком просто. В конфигурации нет пользователей.
Дебаг Radius сервера показывает нормальную работу сервера:
Код: Выделить всё
(2) Received Access-Request Id 39 from 172.16.221.1:58723 to 10.221.0.224:1812 length 110
(2) User-Name = "svp"
(2) User-Password = "Ghbdtn"
(2) NAS-Identifier = "ssh"
(2) NAS-Port = 19060
(2) NAS-Port-Type = Virtual
(2) Service-Type = Administrative-User
(2) Cisco-AVPair = "shell:priv-lvl=1"
(2) Calling-Station-Id = "10.221.0.224"
(2) NAS-IP-Address = 172.16.221.1
...
(2) Auth-Type PAP {
(2) pap: Login attempt with password
(2) pap: Comparing with "known good" Cleartext-Password
(2) pap: User authenticated successfully
(2) [pap] = ok
(2) } # Auth-Type PAP = ok
...
(2) Sent Access-Accept Id 39 from 10.221.0.224:1812 to 172.16.221.1:58723 length 0
(2) Service-Type = Administrative-User
(2) Cisco-AVPair = "shell:priv-lvl=5"
(2) Reply-Message = "?"
(2) Finished request
При этом те же запросы работают для пользователя $enab15$ при входе в enable. Такие же запросы работают в MES.
Можно ли выбирать протокол или поддерживается только PAP?
Re: Авторизация Radius на ESR
Добавлено: 10 июн 2019 14:03
SmalleR
Можно посмотреть обмен пакетами между ESR и Radius сервером:
Из документации:
Есть ли функционал в маршрутизаторах серии ESR для анализа трафика?
В маршрутизаторах серии ESR реализована возможность анализировать трафик на
интерфейсах из CLI. Сниффер запускается командой monitor.
Можно выбрать протокол, порт и использовать прочие фильтры.
Re: Авторизация Radius на ESR
Добавлено: 24 апр 2023 15:51
drewbinsky
вам следует отремонтировать или заменить пульт дистанционного управления или сам цифровой преобразователь
eggy car
Re: Авторизация Radius на ESR
Добавлено: 24 апр 2023 15:57
timothyferriss
попробуйте использовать другой сервер RADIUS или настройте ESR1200 для локальной аутентификации пользователей
blossom word game
Re: Авторизация Radius на ESR
Добавлено: 27 апр 2023 11:59
Phantom32
У меня так.(MES2324)
Имена оборудования вида ELT-EQ-SW-<num> или ELT-EQ-DISTR или ELT-EQ-CORE
Аутентификация доменная. Пользователи eng_one или eng_two.
Код: Выделить всё
/etc/raddb/sites-enabled/default (post-auth)
if (((&User-Name == "eng_one") || (&User-Name == "eng_two")) && ((&NAS-Identifier =~ /^ELT-EQ-[O,C,S,W,D,I,E,S,T,R]{2,5}-[0-9]{1,3}/) || (&NAS-Identifier =~ /^ELT-EQ-[O,C,S,D,I,E,S,T,R]{2,5}/))){
update reply {
Service-Type = NAS-Prompt-User
Cisco-AVPair = "shell:priv-lvl=15"
}
}
15 уровень даёт нормальный enable. У меня всё работает тут.