Авторизация/аутентификация оборудования Zyxel, Qtech, Maipu, Raisecom, D-link, SNR через Radius

Опубликовал(а): в: 2012/06/28

На коммутаторах, вводим:

Коммутаторы Zyxel:

radius-server host 1 [SERVER-IP] key [SECRET]
radius-accounting host 1  [SERVER-IP]  key  [SECRET]

aaa accounting system radius
aaa accounting exec start-stop radius
aaa accounting dot1x start-stop radius

aaa authentication login local radius
aaa authentication enable enable radius

Коммутаторы QTECH 

aaa
radius host  [SERVER-IP]
primary-auth-ip [SERVER-IP]  1812
primary-acct-ip [SERVER-IP]  1813
auth-secret-key  [SECRET]
acct-secret-key  [SECRET]
username-format without-domain
exit
exit
muser radius  [SERVER-IP] pap local

Коммутаторы Raisecom

user login local-radius
enable login local-radius
radius  [SERVER-IP]
radius-key  [SECRET]

Коммутаторы MAIPU

aaa new-model

radius-server host [SERVER-IP]  auth-port 1812 acct-port 1813 priority 0 key  [SECRET]

aaa group server radius RadiusServers
server [SERVER-IP]  auth-port 1812 acct-port 1813
exit

aaa authentication login default RadiusServers local
aaa authentication enable default RadiusServers enable
aaa authorization exec default RadiusServers if-authenticated
exit

Коммутаторы DLINK

create authen server_host [SERVER-IP] protocol radius port 1812 key [SECRET] timeout 15 retransmit 2
config authen server_group radius add server_host  [SERVER-IP] protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius
config authen_enable default method local_enable
create authen_enable method_list_name rad_ext_ena
config authen_enable method_list_name rad_ext_ena method radius
config authen application console login default
config authen application console enable default
config authen application telnet login method_list_name rad_ext
config authen application telnet enable method_list_name rad_ext_ena
config authen application ssh login method_list_name rad_ext
config authen application ssh enable method_list_name rad_ext_ena
config authen application http login method_list_name rad_ext
config authen application http enable method_list_name rad_ext_ena
config authen parameter response_timeout 0
config authen parameter attempt 3
config authen enable_admin all state enable
enable authen_policy

Коммутаторы SNR

authentication line console login local radius
authentication line vty login radius local
authentication line web login radius local
authorization line vty exec radius local
authorization line web exec radius local

radius-server key [SECRET]
radius-server authentication host [SERVER-IP] primary
aaa enable

Radius:
В радиусе, должны существовать (помимо обычных пользователей) ещё учётки для доступа в привилигерованный режим:

#Для raisecom
iscom_admin Auth-Type := Local, User-Password == “[ENABLE_PASSWORD]”
Service-Type = Administrative-User,
Fall-Through = 1

#Для Zyxel
$enab14$ Auth-Type := Local, User-Password == ” [ENABLE_PASSWORD] ”
Service-Type = Administrative-User,
Fall-Through = 1

#Для maipu & Cisco
$enab15$ Auth-Type := Local, User-Password == ” [ENABLE_PASSWORD] ”
Service-Type = Administrative-User,
Fall-Through = 1

Коммутатор Qtech по умолчанию, сразу пускает на 15 уровень. В свичах Cisco & Maipu есть возможность добиться того же, для этого надо отдавать через радиус параметр cisco-avpair с значением требуемого уровня (для cisco – Cisco-AVPair = “shell:priv-lvl=15”, для Maipu – Cisco-AVPair = “priv-lvl=15”). Однако, при этом теряем возможность входа на коммутаторы Zyxel. Приходится разграничивать атрибуты, отдаваемые разным свичам. В свичах Zyxel, SNR, dlink тоже есть возможность попасть сразу в нужный уровень.

В dictionary надо добавить:

VENDOR Zyxel 890
BEGIN-VENDOR Zyxel
ATTRIBUTE Zyxel-Privilege-AVPair 3 string
ATTRIBUTE Zyxel-Callback-Option 192 integer
ATTRIBUTE Zyxel-Callback-Phone-Source 193 integer
END-VENDOR Zyxel

VENDOR Raisecom 8886
BEGIN-VENDOR Raisecom
# Upstream speed limit in kb/s
ATTRIBUTE Raisecom-Upstream-Speed-Limit 1 integer
# Downstream speed limit in kb/s
ATTRIBUTE Raisecom-Downstream-Speed-Limit 2 integer
# user priority
ATTRIBUTE Raisecom-Priority 3 integer
END-VENDOR Raisecom

VENDOR dlink 171
BEGIN-VENDOR dlink
ATTRIBUTE dlink-Privelege-Level 1 integer
END-VENDOR dlink

Поскольку совмещение опций разных вендоров в одном юзере часто приводит к проблемам с авторизацией, лучше группировать свичи в huntgroups:

zyxel NAS-IP-Address == 172.16.9.1
maipu NAS-IP-Address == 10.70.1.9

А в users указывать специфические опции для каждого вендора:

DEFAULT Huntgroup-Name == raisecom
User-Service-Type = 6,
Service-Type += Administrative-User,
Raisecom-Priority += 15

DEFAULT Huntgroup-Name == zyxel
Service-Type += Administrative-User,
User-Service-Type = 6,
Zyxel-Privilege-AVPair += “shell:priv-lvl=14”

DEFAULT Huntgroup-Name == cisco
User-Service-Type = 6,
Service-Type += Administrative-User,
Cisco-AVPair += “shell:priv-lvl=15”

DEFAULT Huntgroup-Name == qtech
User-Service-Type = 6,
Service-Type += Administrative-User,
Cisco-AVPair += “shell:priv-lvl=15”

DEFAULT Huntgroup-Name == dlink
dlink-Privelege-Level = 5,
Service-Type += Administrative-User,
Cisco-AVPair += “shell:priv-lvl=15”

DEFAULT Huntgroup-Name == maipu
User-Service-Type = 6,
Service-Type += Administrative-User,
Cisco-AVPair += “priv-lvl=15”

cisco, hardware, maipu, qtech, raisecom, switches

Обсуждение закрыто.