Isa-Server
使用者登錄到由 radius 驗證的 3Com 交換機未獲得管理員權限,並且在 radius 服務關閉時無法訪問
按照我對 Cisco 設備的設置,我獲得了一些基本級別的功能來驗證登錄到 3Com 交換機的使用者,這些使用者通過 RADIUS 伺服器進行身份驗證。問題是我無法讓使用者獲得管理員權限。我正在使用微軟的 IAS 服務。根據 3Com 文件,在 IAS 上配置訪問策略時,必須使用 010600000003 的值來指定管理員訪問級別。該值必須在撥入配置文件部分輸入:
010600000003 - 表示管理員權限 010600000002 - 經理 010600000001 - 監視器 010600000000 - 訪客
下面是交換機上的配置:
半徑方案系統 伺服器類型標準 主認證 XXX.XXX.XXX.XXX 會計可選 密鑰認證 XXXXXX 關鍵會計 XXXXXX # 域系統 方案半徑方案系統 # 本地使用者管理員 服務型 ssh telnet 終端 3級 本地使用者管理器 服務型 ssh telnet 終端 2級 本地使用者監視器 服務型 ssh telnet 終端 1級
該配置正在使用 IAS 伺服器,因為我可以使用 Eventviewer 工具檢查使用者登錄事件。
以下是交換機上 DISPLAY RADIUS 命令的輸出:
[4500]不同的半徑 ------------------------------------------------------------------ 方案名稱=系統索引=0 類型=標準 主要認證 IP =XXX.XXX.XXX.XXX 埠=1645 狀態=活動 主要帳戶 IP =127.0.0.1 埠=1646 狀態=活動 第二次認證 IP =0.0.0.0 埠=1812 狀態=塊 第二個帳戶 IP =0.0.0.0 埠=1813 狀態=塊 驗證伺服器加密密鑰 = XXXXXX 帳戶伺服器加密密鑰 = XXXXXX 會計方法=可選 TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12 允許發送實時 PKT 失敗計數 =5 noresponse acct-stop-PKT 重試發送次數 =500 安靜間隔(分鐘)=5 使用者名格式=無域 數據流單位=字節 包單位=1 ------------------------------------------------------------------ 總共 1 個 RADIUS 方案。1 列出
以下是使用者登錄交換機後 DISPLAY DOMAIN 和 DISPLAY CONNECTION 命令的輸出:
[4500]顯示域 0 域 = 系統 狀態 = 活動 RADIUS 方案 = 系統 訪問限制 = 禁用 域使用者模板: 怠速 = 禁用 自助服務 = 禁用 信使時間 = 禁用 預設域名:system 共 1 個域。1 個列出。 [4500]顯示連接 索引=0 ,使用者名=admin@system IP=0.0.0.0 索引=2,使用者名=user@system IP=xxx.xxx.xxx.xxx 在單元 1 上:總共 2 個連接匹配,列出了 2 個。 共匹配 2 個連接,列出了 2 個。 [4500]
這是 DISP 半徑統計:
[4500] %Apr 2 00:23:39:957 2000 4500 SHELL/5/LOGIN:- 1 - ecajigas(xxx.xxx.xxx.xxx) in un it1 logindisp radius stat 狀態統計(總計=1048): DEAD=1046 AuthProc=0 AuthSucc=0 AcctStart=0 RLTSend=0 RLTWait=2 AcctStop=0 線上=2 停止=0 狀態錯誤 = 0 接收和發送數據包統計: 單元1........................................ 發送的 PKT 總數:4 收到的 PKT 總數:1 重發次數 重發總數 1 1 2 1 總計 2 RADIUS 接收數據包統計: 程式碼= 2,Num=1 ,Err=0 程式碼= 3,Num=0 ,Err=0 程式碼= 5,Num=0 ,Err=0 程式碼=11,Num=0 ,Err=0 執行統計: RADIUS 接收消息統計: 正常認證請求,Num=1,Err=0,Succ=1 EAP 身份驗證請求,Num=0,Err=0,Succ=0 帳戶請求 , Num=1 , Err=0 , Succ=1 帳戶關閉請求,Num=0,Err=0,Succ=0 PKT 驗證超時,Num=0,Err=0,Succ=0 PKT acct_timeout , Num=3 , Err=1 , Succ=2 實時賬戶計時器,Num = 0,Err = 0,Succ = 0 PKT 響應 , Num=1 , Err=0 , Succ=1 EAP reauth_request , Num=0 , Err=0 , Succ=0 PORTAL 訪問 , Num=0 , Err=0 , Succ=0 更新 ack , Num=0 , Err=0 , Succ=0 PORTAL 訪問 ack , Num=0 , Err=0 , Succ=0 會話 ctrl pkt , Num=0 , Err=0 , Succ=0 RADIUS 發送消息統計: 驗證接受,Num=0 認證拒絕,Num=0 EAP授權回复,Num=0 賬號成功,Num=0 帳戶失敗,Num=0 剪切請求,Num=0 RecError_MSG_sum:0 SndMSG_Fail_sum:0 Timer_Err :0 Alloc_Mem_Err :0 狀態不匹配:0 Other_Error:0 無響應帳戶停止數據包 =0 因緩衝區溢出而丟棄的 No-response-acct-stop 數據包 =0
另一個問題是當 RADIUS 伺服器不可用時,我無法登錄到交換機。交換機有 3 個本地帳戶,但它們都不起作用。如果 RADIUS 服務不可用,如何指定交換機使用本地帳戶?
我們可以使用 SSH 和 RADIUS 身份驗證登錄 3coms 45 和 55,但使用 IAS 進行設置有點麻煩。
具有本地故障轉移的 RADIUS 身份驗證
這是在 SW5500 上工作的配置。
sysname 5500-SI # password-control length 4 password-control history 2 password-control login-attempt 3 exceed lock-time 120 # super password level 3 simple password # local-server nas-ip 127.0.0.1 key 3com # domain default enable 3comdevicelogin # dot1x dot1x timer tx-period 10 dot1x timer handshake-period 1024 dot1x authentication-method eap # radius scheme system # radius scheme 3comapsc server-type standard primary authentication 152.67.101.23 accounting optional key authentication radius user-name-format without-domain nas-ip 152.67.101.54 # radius scheme 3ComDeviceLogin server-type extended primary authentication 152.67.101.39 accounting optional key authentication radius user-name-format without-domain nas-ip 152.67.101.54 # domain 3comdevicelogin scheme radius-scheme 3ComDeviceLogin local domain apsc scheme radius-scheme 3comapsc domain system # local-user admin service-type ssh telnet terminal level 3 password-control aging 90 local-user manager service-type ssh telnet terminal level 2 local-user monitor service-type ssh telnet terminal level 1 #