Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


cisco:configuring-radius-authentication-in-cisco-ios-15-for-cisco-catalyst-3560x-switch

Настройка RADIUS аутентификации в IOS v15 для подключения к коммутатору Cisco Catalyst 3560X

При подключении к интерфейсу управления коммутатором Cisco Catalyst вместо аутентификации по локальными учётным записям в IOS возможно использование аутентификации на основе доменных учётных записей, например из каталога Active Directory. Для этого на коммутаторе можно настроить аутентификацию через RADIUS-сервер. Пример такой настройки рассматривался ранее в статье Использование RADIUS (Windows Network Policy Server) для аутентификации и авторизации на коммутаторах Cisco.

Здесь приводится пример конфигурации коммутатора Cisco Catalyst 3560X на базе IOS v15 для аутентификации с использованием пары выделенных RADIUS серверов (10.1.0.11 и 10.1.0.12). Подразумевается, что RADIUS-серверы имеют одинаковую конфигурацию и используются парно для повышения доступности.

Настраиваем AAA аутентификацию и авторизацию таким образом, чтобы приоритетно использовалась RADIUS аутентификация, а в случае, если RADIUS серверы окажутся недоступны, использовалась локальная аутентификация на базе встроенных учетных записей устройства.

SW01# configure terminal
SW01(config)# aaa new-model
SW01(config)# aaa authentication login default group radius local 
SW01(config)# aaa authorization exec default group radius if-authenticated

Вводим информацию о первом сервере RADIUS, его портах и ключ (Shared secret), который в ранее был прописан для этого устройства на самом сервере RADIUS:

SW01(config)# radius server SERVER1
SW01(config-radius-server)# address ipv4 10.1.0.11 auth-port 1812 acct-port 1813
SW01(config-radius-server)# key Str0nGS1creT
SW01(config-radius-server)# exit

По аналогии вводим информацию о втором сервере RADIUS, его портах и ключ (Shared secret), который в ранее был прописан для этого устройства на сервере RADIUS:

SW01(config)# radius server SERVER2
SW01(config-radius-server)# address ipv4 10.1.0.12 auth-port 1812 acct-port 1813
SW01(config-radius-server)# key Str0nGS1creT
SW01(config-radius-server)# exit

Завершаем изменение конфигурации и сохраняем её:

SW01(config)# exit
SW01# write

Проверено на следующих конфигурациях:

Модель коммутатора Версия IOS
Cisco Catalyst WS-C3560X-48T-L V05 15.2(4)E8

Автор текущей редакции:
Алексей Максимов
Время публикации: 30.08.2019 15:38

Обсуждение

ivanivan, 03.07.2020 11:33
Добрый день!
Подскажите, а как сделать, чтобы при авторизации через RADIOUS-сервер (с учетками AD) пользователь сразу проваливался в Enable режим? Спасибо.
ВладиславВладислав, 11.04.2021 15:07
необходимо в vendor attributes в политиках NPS прописать атрибут: shell:priv-lvl=15, где вместо 15 ставите какой угодно уровень привилегий
Алексей МаксимовАлексей Максимов, 12.04.2021 11:19
В начале этой заметки есть ссылка на статью. Там всё это описано.
Ваш комментарий:
 
cisco/configuring-radius-authentication-in-cisco-ios-15-for-cisco-catalyst-3560x-switch.txt · Последнее изменение: 30.08.2019 15:40 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki