Можно ли настроить вход системных юзеров в Циски через utm5_radius? Если да, то где нужно заводить пользователя?
На форуме этого не нашёл, самому сделать не получилось...
Системные пользователи и utm5_radius
необходимо на циске прописать что-то вроде (зависит от версии ИОСа и т.д.):
aaa authentication login default group radius
и
aaa authorization exec default group radius
далее в биллинге заведите услугу (например диал-ап), привяжите к абоненту и задайте логин и пароль. Попробуйте зайти на циску телнетом с этим логин и паролем.
Важно: не сохраняйте конфиг циски на флеш пока не убедитесь, что всё работает и вы можете нормально логиниться на циску.
aaa authentication login default group radius
и
aaa authorization exec default group radius
далее в биллинге заведите услугу (например диал-ап), привяжите к абоненту и задайте логин и пароль. Попробуйте зайти на циску телнетом с этим логин и паролем.
Важно: не сохраняйте конфиг циски на флеш пока не убедитесь, что всё работает и вы можете нормально логиниться на циску.
Сделал как Вы сказали... На Циске получаю Authentication failed. 
radius5.log
Size: 77; HDR.Size: 77
RPacket:
Code: 1; ID: 10
<Vendor: 0; Attr: 1>[5]: 7465737433
<Vendor: 0; Attr: 2>[16]: dc805bac2b39e37e97680ff5941e2871
<Vendor: 0; Attr: 4>[4]: 50ed52fa
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 31>[12]: 38302e3233372e38322e3732
<Vendor: 0; Attr: 61>[4]: 00000005
?Debug : Aug 18 09:34:13 RADIUS Auth: Packet from <x.x.x.x>
?Debug : Aug 18 09:34:13 RADIUS Auth: User <test3> connecting
?Debug : Aug 18 09:34:13 RADIUS DBA: NAS found. Data size <0>
?Debug : Aug 18 09:34:13 RADIUS DBA: login_store iter->second.dialup.session_count:0
?Debug : Aug 18 09:34:13 RADIUS Auth: Auth scheme: PAP
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: Rejected user <test3>
Notice: Aug 18 09:34:13 RADIUS Auth: Authorization failed for user <test3>
Reply:
RPacket:
Code: 3; ID: 10
<Vendor: 0; Attr: 18>[21]: 417574686f72697a6174696f6e206661696c65642e
Size send: 43
Next...
Смущает вот это "?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>"
В чём может быть проблема?
radius5.log
Size: 77; HDR.Size: 77
RPacket:
Code: 1; ID: 10
<Vendor: 0; Attr: 1>[5]: 7465737433
<Vendor: 0; Attr: 2>[16]: dc805bac2b39e37e97680ff5941e2871
<Vendor: 0; Attr: 4>[4]: 50ed52fa
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 31>[12]: 38302e3233372e38322e3732
<Vendor: 0; Attr: 61>[4]: 00000005
?Debug : Aug 18 09:34:13 RADIUS Auth: Packet from <x.x.x.x>
?Debug : Aug 18 09:34:13 RADIUS Auth: User <test3> connecting
?Debug : Aug 18 09:34:13 RADIUS DBA: NAS found. Data size <0>
?Debug : Aug 18 09:34:13 RADIUS DBA: login_store iter->second.dialup.session_count:0
?Debug : Aug 18 09:34:13 RADIUS Auth: Auth scheme: PAP
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: Rejected user <test3>
Notice: Aug 18 09:34:13 RADIUS Auth: Authorization failed for user <test3>
Reply:
RPacket:
Code: 3; ID: 10
<Vendor: 0; Attr: 18>[21]: 417574686f72697a6174696f6e206661696c65642e
Size send: 43
Next...
Смущает вот это "?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>"
В чём может быть проблема?
Очень похоже, что не совпадают секреты. Проверьте в конфиге циски и в настройках НАСов в UTM. Должны совпадать.am писал(а):Сделал как Вы сказали... На Циске получаю Authentication failed.
radius5.log
Size: 77; HDR.Size: 77
RPacket:
Code: 1; ID: 10
<Vendor: 0; Attr: 1>[5]: 7465737433
<Vendor: 0; Attr: 2>[16]: dc805bac2b39e37e97680ff5941e2871
<Vendor: 0; Attr: 4>[4]: 50ed52fa
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 31>[12]: 38302e3233372e38322e3732
<Vendor: 0; Attr: 61>[4]: 00000005
?Debug : Aug 18 09:34:13 RADIUS Auth: Packet from <x.x.x.x>
?Debug : Aug 18 09:34:13 RADIUS Auth: User <test3> connecting
?Debug : Aug 18 09:34:13 RADIUS DBA: NAS found. Data size <0>
?Debug : Aug 18 09:34:13 RADIUS DBA: login_store iter->second.dialup.session_count:0
?Debug : Aug 18 09:34:13 RADIUS Auth: Auth scheme: PAP
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>
?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: Rejected user <test3>
Notice: Aug 18 09:34:13 RADIUS Auth: Authorization failed for user <test3>
Reply:
RPacket:
Code: 3; ID: 10
<Vendor: 0; Attr: 18>[21]: 417574686f72697a6174696f6e206661696c65642e
Size send: 43
Next...
Смущает вот это "?Debug : Aug 18 09:34:13 RADIUS Auth: PAP: <test3> vs <Fя8╪Я$(~╒pApт■╒Б>"
В чём может быть проблема?
-
AntonLemon
- Сообщения: 55
- Зарегистрирован: Вт авг 16, 2005 11:29
День добрый.
Вам надо сделать следующее:
-----------
aaa new-model
aaa group server radius rs1
server x.x.x.x auth-port 1812 acct-port 1813
aaa authentication login default local group rs1
aaa authentication ppp default local group rs1
radius-server retransmit 3
radius-server key rad_key
-----------
При этом логин пользователя будет сначала пробиваться на циске, а потом на внешнем радиусе (x.x.x.x) в Вашем случае это будет IP нетапа.
Единственное Вам останется подумать куда слать accounting информацию (нужны ли вам данные по трафику от системных пользователей).
При этом в нетапе заводить пользователей с такими же логинами как и на циске совершенно не обязательно, так как никакие нетаповские запреты и ограничения на этих юзеров при подключении их через циску распространяться не будут.
Вам надо сделать следующее:
-----------
aaa new-model
aaa group server radius rs1
server x.x.x.x auth-port 1812 acct-port 1813
aaa authentication login default local group rs1
aaa authentication ppp default local group rs1
radius-server retransmit 3
radius-server key rad_key
-----------
При этом логин пользователя будет сначала пробиваться на циске, а потом на внешнем радиусе (x.x.x.x) в Вашем случае это будет IP нетапа.
Единственное Вам останется подумать куда слать accounting информацию (нужны ли вам данные по трафику от системных пользователей).
При этом в нетапе заводить пользователей с такими же логинами как и на циске совершенно не обязательно, так как никакие нетаповские запреты и ограничения на этих юзеров при подключении их через циску распространяться не будут.
Проблема действительно была в несовпадении секретов. Теперь радиус авторизует пользователя:
Size: 77; HDR.Size: 77
RPacket:
Code: 1; ID: 14
<Vendor: 0; Attr: 1>[5]: 7465737433
<Vendor: 0; Attr: 2>[16]: 87ea3a0a0dad2455f0a2ea7c088ed683
<Vendor: 0; Attr: 4>[4]: 50ed52fa
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 31>[12]: 38302e3233372e38322e3732
<Vendor: 0; Attr: 61>[4]: 00000005
?Debug : Aug 18 16:44:02 RADIUS Auth: Packet from <х.х.х.х>
?Debug : Aug 18 16:44:02 RADIUS Auth: User <test3> connecting
?Debug : Aug 18 16:44:02 RADIUS DBA: NAS found. Data size <0>
?Debug : Aug 18 16:44:02 RADIUS DBA: login_store iter->second.dialup.session_count:0
?Debug : Aug 18 16:44:02 RADIUS Auth: Auth scheme: PAP
?Debug : Aug 18 16:44:02 RADIUS Auth: PAP: <test3> vs <test3>
?Debug : Aug 18 16:44:02 RADIUS Auth: PAP: Authorized user <test3>
?Debug : Aug 18 16:44:02 RADIUS Auth: Dialup session limit:0 session count:0 for user:test3
Info : Aug 18 16:44:02 UT: calc timeout
Info : Aug 18 16:44:02 UT: t 1124343842, left money 99.937108
Info : Aug 18 16:44:02 UT: tr_id 1, mult 0.000000, next 1124343902
Info : Aug 18 16:44:02 UT: quantity 60 for borders
Info : Aug 18 16:44:02 UT: after borders q=60, downloaded=60, downed_as_prepaid=0 cost_info size <1>
Info : Aug 18 16:44:02 UT: added entire 60
Info : Aug 18 16:44:02 UT: i==cost_info->end()
Info : Aug 18 16:44:02 UT: session_timeout <60> session_limit <60> old_session_timeout <0>
Info : Aug 18 16:44:02 UT: t 1124343902, left money 99.937108
Info : Aug 18 16:44:02 UT: tr_id 1, mult 0.000000, next 1124343962
Info : Aug 18 16:44:02 UT: quantity 60 for borders
Info : Aug 18 16:44:02 UT: after borders q=60, downloaded=120, downed_as_prepaid=0 cost_info size <1>
Info : Aug 18 16:44:02 UT: added entire 60
Info : Aug 18 16:44:02 UT: i==cost_info->end()
Info : Aug 18 16:44:02 UT: session_timeout <120> session_limit <60> old_session_timeout <60>
Info : Aug 18 16:44:02 UT: session_timeout > session_limit or session_timeout - old_session_timeout too small. Breaking ...
?Debug : Aug 18 16:44:02 RADIUS Auth: Calculated maximum session time: 60
?Debug : Aug 18 16:44:02 RADIUS DBA: dialup_link_update called for slink:20
?Debug : Aug 18 16:44:02 RADIUS DBA: soft dialup_link_update for slink:20 session_count:1
?Debug : Aug 18 16:44:02 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
Reply:
RPacket:
Code: 2; ID: 14
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 10>[4]: 00000000
<Vendor: 0; Attr: 27>[4]: 0000003c
<Vendor: 9; Attr: 1>[27]: 69703a616464722d706f6f6c3d54544b2d4456206e6574776f726b
Size send: 79
Но в Циску зайти так и не могу:
[am@ns1 ~]$ telnet x.x.x.x
Trying x.x.x.x...
Connected to hostxxx.xxx.ru (x.x.x.x).
Escape character is '^]'.
User Access Verification
Username: test3
Password:
This line may not run PPP.Connection closed by foreign host.
Куда копать?
Size: 77; HDR.Size: 77
RPacket:
Code: 1; ID: 14
<Vendor: 0; Attr: 1>[5]: 7465737433
<Vendor: 0; Attr: 2>[16]: 87ea3a0a0dad2455f0a2ea7c088ed683
<Vendor: 0; Attr: 4>[4]: 50ed52fa
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 31>[12]: 38302e3233372e38322e3732
<Vendor: 0; Attr: 61>[4]: 00000005
?Debug : Aug 18 16:44:02 RADIUS Auth: Packet from <х.х.х.х>
?Debug : Aug 18 16:44:02 RADIUS Auth: User <test3> connecting
?Debug : Aug 18 16:44:02 RADIUS DBA: NAS found. Data size <0>
?Debug : Aug 18 16:44:02 RADIUS DBA: login_store iter->second.dialup.session_count:0
?Debug : Aug 18 16:44:02 RADIUS Auth: Auth scheme: PAP
?Debug : Aug 18 16:44:02 RADIUS Auth: PAP: <test3> vs <test3>
?Debug : Aug 18 16:44:02 RADIUS Auth: PAP: Authorized user <test3>
?Debug : Aug 18 16:44:02 RADIUS Auth: Dialup session limit:0 session count:0 for user:test3
Info : Aug 18 16:44:02 UT: calc timeout
Info : Aug 18 16:44:02 UT: t 1124343842, left money 99.937108
Info : Aug 18 16:44:02 UT: tr_id 1, mult 0.000000, next 1124343902
Info : Aug 18 16:44:02 UT: quantity 60 for borders
Info : Aug 18 16:44:02 UT: after borders q=60, downloaded=60, downed_as_prepaid=0 cost_info size <1>
Info : Aug 18 16:44:02 UT: added entire 60
Info : Aug 18 16:44:02 UT: i==cost_info->end()
Info : Aug 18 16:44:02 UT: session_timeout <60> session_limit <60> old_session_timeout <0>
Info : Aug 18 16:44:02 UT: t 1124343902, left money 99.937108
Info : Aug 18 16:44:02 UT: tr_id 1, mult 0.000000, next 1124343962
Info : Aug 18 16:44:02 UT: quantity 60 for borders
Info : Aug 18 16:44:02 UT: after borders q=60, downloaded=120, downed_as_prepaid=0 cost_info size <1>
Info : Aug 18 16:44:02 UT: added entire 60
Info : Aug 18 16:44:02 UT: i==cost_info->end()
Info : Aug 18 16:44:02 UT: session_timeout <120> session_limit <60> old_session_timeout <60>
Info : Aug 18 16:44:02 UT: session_timeout > session_limit or session_timeout - old_session_timeout too small. Breaking ...
?Debug : Aug 18 16:44:02 RADIUS Auth: Calculated maximum session time: 60
?Debug : Aug 18 16:44:02 RADIUS DBA: dialup_link_update called for slink:20
?Debug : Aug 18 16:44:02 RADIUS DBA: soft dialup_link_update for slink:20 session_count:1
?Debug : Aug 18 16:44:02 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
Reply:
RPacket:
Code: 2; ID: 14
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 10>[4]: 00000000
<Vendor: 0; Attr: 27>[4]: 0000003c
<Vendor: 9; Attr: 1>[27]: 69703a616464722d706f6f6c3d54544b2d4456206e6574776f726b
Size send: 79
Но в Циску зайти так и не могу:
[am@ns1 ~]$ telnet x.x.x.x
Trying x.x.x.x...
Connected to hostxxx.xxx.ru (x.x.x.x).
Escape character is '^]'.
User Access Verification
Username: test3
Password:
This line may not run PPP.Connection closed by foreign host.
Куда копать?
-
AntonLemon
- Сообщения: 55
- Зарегистрирован: Вт авг 16, 2005 11:29