Isa-Server

使用者登錄到由 radius 驗證的 3Com 交換機未獲得管理員權限,並且在 radius 服務關閉時無法訪問

  • August 6, 2011

按照我對 Cisco 設備的設置,我獲得了一些基本級別的功能來驗證登錄到 3Com 交換機的使用者,這些使用者通過 RADIUS 伺服器進行身份驗證。問題是我無法讓使用者獲得管理員權限。我正在使用微軟的 IAS 服務。根據 3Com 文件,在 IAS 上配置訪問策略時,必須使用 010600000003 的值來指定管理員訪問級別。該值必須在撥入配置文件部分輸入:

010600000003 - 表示管理員權限 
010600000002 - 經理 
010600000001 - 監視器 
010600000000 - 訪客 

下面是交換機上的配置:

半徑方案系統 
伺服器類型標準 
主認證 XXX.XXX.XXX.XXX 
會計可選 
密鑰認證 XXXXXX 
關鍵會計 XXXXXX 
# 
域系統 
方案半徑方案系統 
# 
本地使用者管理員 
服務型 ssh telnet 終端 
3級 
本地使用者管理器 
服務型 ssh telnet 終端 
2級 
本地使用者監視器 
服務型 ssh telnet 終端 
1級 

該配置正在使用 IAS 伺服器,因為我可以使用 Eventviewer 工具檢查使用者登錄事件。

以下是交換機上 DISPLAY RADIUS 命令的輸出:

[4500]不同的半徑

------------------------------------------------------------------

方案名稱=系統索引=0 類型=標準 
主要認證 IP =XXX.XXX.XXX.XXX 埠=1645 狀態=活動 
主要帳戶 IP =127.0.0.1 埠=1646 狀態=活動 
第二次認證 IP =0.0.0.0 埠=1812 狀態=塊 
第二個帳戶 IP =0.0.0.0 埠=1813 狀態=塊 
驗證伺服器加密密鑰 = XXXXXX 
帳戶伺服器加密密鑰 = XXXXXX 
會計方法=可選 
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12 
允許發送實時 PKT 失敗計數 =5 
noresponse acct-stop-PKT 重試發送次數 =500 
安靜間隔(分鐘)=5 
使用者名格式=無域 
數據流單位=字節 
包單位=1 


------------------------------------------------------------------

總共 1 個 RADIUS 方案。1 列出 

以下是使用者登錄交換機後 DISPLAY DOMAIN 和 DISPLAY CONNECTION 命令的輸出:

[4500]顯示域 
0 域 = 系統 
狀態 = 活動 
RADIUS 方案 = 系統 
訪問限制 = 禁用 
域使用者模板: 
怠速 = 禁用 
自助服務 = 禁用 
信使時間 = 禁用 

預設域名:system 
共 1 個域。1 個列出。 


[4500]顯示連接 
索引=0 ,使用者名=admin@system 
IP=0.0.0.0 

索引=2,使用者名=user@system 
IP=xxx.xxx.xxx.xxx 

在單元 1 上:總共 2 個連接匹配,列出了 2 個。 
共匹配 2 個連接,列出了 2 個。 
[4500] 

這是 DISP 半徑統計:

[4500] 
%Apr 2 00:23:39:957 2000 4500 SHELL/5/LOGIN:- 1 - ecajigas(xxx.xxx.xxx.xxx) in un it1 logindisp radius stat 
狀態統計(總計=1048): 
DEAD=1046 AuthProc=0 AuthSucc=0 
AcctStart=0 RLTSend=0 RLTWait=2 
AcctStop=0 線上=2 停止=0 
狀態錯誤 = 0 

接收和發送數據包統計:
單元1........................................
發送的 PKT 總數:4 收到的 PKT 總數:1 
重發次數 重發總數 
1 1 
2 1 
總計 2 
RADIUS 接收數據包統計: 
程式碼= 2,Num=1 ,Err=0 
程式碼= 3,Num=0 ,Err=0 
程式碼= 5,Num=0 ,Err=0 
程式碼=11,Num=0 ,Err=0 

執行統計: 
RADIUS 接收消息統計: 
正常認證請求,Num=1,Err=0,Succ=1 
EAP 身份驗證請求,Num=0,Err=0,Succ=0 
帳戶請求 , Num=1 , Err=0 , Succ=1 
帳戶關閉請求,Num=0,Err=0,Succ=0 
PKT 驗證超時,Num=0,Err=0,Succ=0 
PKT acct_timeout , Num=3 , Err=1 , Succ=2 
實時賬戶計時器,Num = 0,Err = 0,Succ = 0 
PKT 響應 , Num=1 , Err=0 , Succ=1 
EAP reauth_request , Num=0 , Err=0 , Succ=0 
PORTAL 訪問 , Num=0 , Err=0 , Succ=0 
更新 ack , Num=0 , Err=0 , Succ=0 
PORTAL 訪問 ack , Num=0 , Err=0 , Succ=0 
會話 ctrl pkt , Num=0 , Err=0 , Succ=0 
RADIUS 發送消息統計: 
驗證接受,Num=0 
認證拒絕,Num=0 
EAP授權回复,Num=0 
賬號成功,Num=0 
帳戶失敗,Num=0 
剪切請求,Num=0 
RecError_MSG_sum:0 SndMSG_Fail_sum:0 
Timer_Err :0 Alloc_Mem_Err :0 
狀態不匹配:0 Other_Error:0 

無響應帳戶停止數據包 =0 
因緩衝區溢出而丟棄的 No-response-acct-stop 數據包 =0 

另一個問題是當 RADIUS 伺服器不可用時,我無法登錄到交換機。交換機有 3 個本地帳戶,但它們都不起作用。如果 RADIUS 服務不可用,如何指定交換機使用本地帳戶?

我們可以使用 SSH 和 RADIUS 身份驗證登錄 3coms 45 和 55,但使用 IAS 進行設置有點麻煩。

具有本地故障轉移的 RADIUS 身份驗證

這是在 SW5500 上工作的配置。

sysname 5500-SI
#
password-control length 4
password-control history 2
password-control login-attempt 3 exceed lock-time 120
#
super password level 3 simple password
#
local-server nas-ip 127.0.0.1 key 3com
#
domain default enable 3comdevicelogin
#
dot1x
dot1x timer tx-period 10
dot1x timer handshake-period 1024
dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
server-type standard
primary authentication 152.67.101.23
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
server-type extended
primary authentication 152.67.101.39
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
domain 3comdevicelogin
scheme radius-scheme 3ComDeviceLogin local
domain apsc
scheme radius-scheme 3comapsc
domain system
#
local-user admin
service-type ssh telnet terminal
level 3
password-control aging 90
local-user manager
service-type ssh telnet terminal
level 2
local-user monitor
service-type ssh telnet terminal
level 1
#

引用自:https://serverfault.com/questions/141899