Настройка Radius AAA на коммутаторах SNR
Настройка Radius AAA на коммутаторах SNR
С помощью протокола Radius можно сделать централизованную систему авторизации и аутентификации сотрудников, которым необходим доступ на коммутаторы, для проведения диагностики либо конфигурирования оборудования. Тем самым значительно упрощается сопровождение большого количества коммутаторов. Данный функционал поддерживается всеми управляемыми коммутаторами SNR.
Для начала необходимо настроить radius-сервер и включить aaa глобально
radius-server authentication host xx.xx.xx.xx key xxxxaaa enable
Затем настраиваем аутентификацию пользователей через radius, при доступе через консольный порт, через удаленный терминал, и через web.
authentication line console login radius localauthentication line vty login radius local
authentication line web login radius local
Аутентификация включена, теперь когда вводится логин и пароль, для доступа на коммутатор, они отсылаются на Radius сервер, который отвечает либо разрешить доступ, либо запретить. Если radius сервер не отвечает, тогда используется следующий метод аутентификации, в нашей конфигурации — локальный.
В такой конфигурации, после прохождения аутентификации, пользователь попадает на коммутатор в непривилегированном режим. Если мы хотим попадать сразу в режим enable, необходимо включить авторизацию, командой
authorization line vty exec radius local
А на Radius сервере настроить, так чтобы в ответе Access-accept от сервера, приходил аттрибут service-type с значением 6.
Так-же можно настроить проверку пароля enable через Radius. Это делается командой
authentication enable radius local
В этом случае, на radius-сервере необходимо завести пользователя с логином $enabl15$