URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16727
[ Назад ]

Исходное сообщение
"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 15-Июл-08 17:48

Подскажите пожалуйста, кто иcпользует Freeradius на Linux для аутентификации пользователей, как победить следующую проблему:
Настроил Freeradius и cisco для аутентификации пользователя. При следующей настройке в файле users:
username Cleartext-Password := "password"
         Service-Type = NAS-Prompt-User,
         cisco-avpair = "shell:priv-lvl=15"
$enab15$ Cleartext-Password := "password"
         Service-Type = NAS-Prompt-User
Пользователь ацтентифицируется на циске, но привелегия 15 не срабатывает и приходится вводить enable.
И при настройке файла users следующим образом:
DEFAULT Auth-Type := System
        Fall-Through = 1
Радиус не находит в /etc/passwd системного логина и пароля
Помогите плиз. Уже все сайты излазил, написано везде одинаково, но у меня не работает. Что я делаю не так.
Заранее благодарен

Содержание

Freeradius, Auth-Type, Cisco-AVpair,alchie, 08:55 , 16-Июл-08
- Freeradius, Auth-Type, Cisco-AVpair,askeo, 08:59 , 16-Июл-08
  - Freeradius, Auth-Type, Cisco-AVpair,alchie, 09:08 , 16-Июл-08
    - Freeradius, Auth-Type, Cisco-AVpair,askeo, 09:32 , 16-Июл-08
      - Freeradius, Auth-Type, Cisco-AVpair,alchie, 10:52 , 16-Июл-08
        
        Freeradius, Auth-Type, Cisco-AVpair,askeo, 11:01 , 16-Июл-08
        
        Freeradius, Auth-Type, Cisco-AVpair,alchie, 11:09 , 16-Июл-08
  - Freeradius, Auth-Type, Cisco-AVpair,alchie, 09:12 , 16-Июл-08
    - Freeradius, Auth-Type, Cisco-AVpair,askeo, 09:36 , 16-Июл-08
      - Freeradius, Auth-Type, Cisco-AVpair,askeo, 14:28 , 16-Июл-08
        
        Freeradius, Auth-Type, Cisco-AVpair,без имя, 12:46 , 17-Июл-08
Freeradius, Auth-Type, Cisco-AVpair,KoD, 10:32 , 27-Июл-12

Сообщения в этом обсуждении

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено alchie , 16-Июл-08 08:55

>Помогите плиз. Уже все сайты излазил, написано везде одинаково, но у меня
>не работает. Что я делаю не так.
>
>Заранее благодарен
aaa неверно настроен. вывод команды
sh run | i aaa
в студию!

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 16-Июл-08 08:59

>>Помогите плиз. Уже все сайты излазил, написано везде одинаково, но у меня
>>не работает. Что я делаю не так.
>>
>>Заранее благодарен
>
>aaa неверно настроен. вывод команды
>sh run | i aaa
>в студию!
вот настройка:

aaa new-model
!
!
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting delay-start
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено alchie , 16-Июл-08 09:08

тут порядок, на line vty ничего подозрительного нет? я что-то не помню можно ли там чем-нить похерить. по идее текущих настроек должно хватать

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 16-Июл-08 09:32

>тут порядок, на line vty ничего подозрительного нет? я что-то не помню
>можно ли там чем-нить похерить. по идее текущих настроек должно хватать
>
На line vty у меня вообще ничего дополнительного не настроено, поскольку default-ный лист сам применяется к нему. Да и я по консоли больше всего тестирую доступ сейчас.

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено alchie , 16-Июл-08 10:52

>>тут порядок, на line vty ничего подозрительного нет? я что-то не помню
>>можно ли там чем-нить похерить. по идее текущих настроек должно хватать
>>
>
>На line vty у меня вообще ничего дополнительного не настроено, поскольку default-ный
>лист сам применяется к нему. Да и я по консоли больше
>всего тестирую доступ сейчас.
а по консоли - это другое. тут надо:
line con 0
privilege level 15

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 16-Июл-08 11:01

>[оверквотинг удален]
>>>можно ли там чем-нить похерить. по идее текущих настроек должно хватать
>>>
>>
>>На line vty у меня вообще ничего дополнительного не настроено, поскольку default-ный
>>лист сам применяется к нему. Да и я по консоли больше
>>всего тестирую доступ сейчас.
>
>а по консоли - это другое. тут надо:
>line con 0
> privilege level 15
точно! Спасибо
С консолью разобрался. А для телнета там точно ничего не надо дополнительного?
И к сожалению с Auth-Type := System пока неясно ничего :(

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено alchie , 16-Июл-08 11:09

>[оверквотинг удален]
>>>всего тестирую доступ сейчас.
>>
>>а по консоли - это другое. тут надо:
>>line con 0
>> privilege level 15
>
>точно! Спасибо
>С консолью разобрался. А для телнета там точно ничего не надо дополнительного?
>
>И к сожалению с Auth-Type := System пока неясно ничего :(
тут надо дебаги фрирадиуса изучать. к сожалению, я в нем не силен.

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено alchie , 16-Июл-08 09:12

deb rad auth
deb rad verb
term mon
может тут чего вылезет в процессе аутентификации/авторизации?

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 16-Июл-08 09:36

>deb rad auth
>deb rad verb
>term mon
>
>может тут чего вылезет в процессе аутентификации/авторизации?
Включал debug. Пишет, что ему присылается атрибут с привелегией 15, но он почему то не отрабатывается. А про то, почему Radius не хочет брать пароли из /etc/passwd debug циски и не скажет. Сам лог радиуса просто говорит, что login incorrect. Я сам понимаю, что наверняка проблема в мелочи какой нибудь. Вот только какой? У всех заработало сразу и без проблем?

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено askeo , 16-Июл-08 14:28

>[оверквотинг удален]
>>term mon
>>
>>может тут чего вылезет в процессе аутентификации/авторизации?
>
>Включал debug. Пишет, что ему присылается атрибут с привелегией 15, но он
>почему то не отрабатывается. А про то, почему Radius не хочет
>брать пароли из /etc/passwd debug циски и не скажет. Сам лог
>радиуса просто говорит, что login incorrect. Я сам понимаю, что наверняка
>проблема в мелочи какой нибудь. Вот только какой? У всех заработало
>сразу и без проблем?
вопрос так и не решен:(

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено без имя , 17-Июл-08 12:46

>[оверквотинг удален]
>>>может тут чего вылезет в процессе аутентификации/авторизации?
>>
>>Включал debug. Пишет, что ему присылается атрибут с привелегией 15, но он
>>почему то не отрабатывается. А про то, почему Radius не хочет
>>брать пароли из /etc/passwd debug циски и не скажет. Сам лог
>>радиуса просто говорит, что login incorrect. Я сам понимаю, что наверняка
>>проблема в мелочи какой нибудь. Вот только какой? У всех заработало
>>сразу и без проблем?
>
>вопрос так и не решен:(
если я не ощибаюс то
cisco-avpair = shell:priv-lvl=15
надо менять на следующий
Cisco-AVPair := shell:priv-lvl=15

"Freeradius, Auth-Type, Cisco-AVpair"
Отправлено KoD , 27-Июл-12 10:32

"username" Cleartext-Password := "passwd"
             Auth-Type == Local,
             Service-Type = NAS-Prompt-User,
             Cisco-AVPair = "Shell:priv-lvl=15"
----------------------------------------------------------------
(config)# aaa new-model
(config)#
(config)# aaa authentication login default group RADGRP1 local
(config)# aaa authorization exec default group RADGRP1 local
(config)#
(config)# line { console | vty | tty } <n>
(config-line)# login exec default
(config-line)# authorization exec default