web-dev-qa-db-ja.com

ユーザーは、RADIUSによって認証された3Comスイッチにログインし、管理者権限を取得せず、RADIUSサービスがダウンしているとアクセスできません

Ciscoデバイス用に設定した後、RADIUSサーバーに対して認証された3Comスイッチにログインするユーザーを認証する基本レベルの機能を取得しました。問題は、ユーザーを次の場所に認証できないことです。管理者権限を取得します。MicrosoftのIASサービスを使用しています。IASでアクセスポリシーを設定する際の3Comのドキュメントによると、管理者アクセスレベルを指定するには値01060000003を使用する必要があります。この値はダイヤルインプロファイルセクションに入力する必要があります:

 010600000003-管理者権限を示します
 010600000002-マネージャー
 010600000001-モニター
 010600000000-訪問者

スイッチの構成は次のとおりです。

半径スキームシステム
サーバータイプ標準
プライマリ認証XXX.XXX.XXX.XXX 
アカウンティングオプション
キー認証XXXXXX 
キーアカウンティングXXXXXX 
#
ドメインシステム
スキームradius-schemeシステム
#
 local-user admin 
 service-type sshtelnet端末
レベル3 
ローカルユーザーマネージャー
サービスタイプsshtelnet端末
レベル2 
ローカルユーザーモニター
サービスタイプのsshtelnet端末
レベル1 

Eventviewerツールを使用してユーザーログインイベントを確認できるため、構成はIASサーバーで機能しています。

スイッチでのDISPLAY RADIUSコマンドの出力は次のとおりです。

 [4500] disp radius 
 
 ----------------------------------- ------------------------------- 
 
 SchemeName = system Index = 0 Type = standard 
プライマリ認証IP = XXX.XXX.XXX.XXXポート= 1645状態=アクティブ
プライマリアカウントIP = 127.0.0.1ポート= 1646状態=アクティブ
 2番目の認証IP = 0.0 .0.0 Port = 1812 State = block 
 Second Acct IP = 0.0.0.0 Port = 1813 State = block 
 Auth Server Encryption Key = XXXXXX 
 Acct Server Encryption Key = XXXXXX 
アカウンティングメソッド=オプション
 TimeOutValue(秒単位)= 3RetryTimes = 3 RealtimeACCT(分単位)= 12 
許可された送信リアルタイムPKT失敗カウント= 5 
送信回数の再試行of noresponse acct-stop-PKT = 500 
 Quiet-interval(min)= 5 
 Username format = without-domain 
 Data flow unit = Byte 
 Packet unit= 1 
 
 
 --------------------------------- --------------------------------- 
 
合計1 RADIUSスキーム。 1つリストされています

ユーザーがスイッチにログインした後のDISPLAYDOMAINコマンドとDISPLAYCONNECTIONコマンドの出力は次のとおりです。

[4500]ドメインの表示
 0ドメイン=システム
状態=アクティブ
 RADIUSスキーム=システム
アクセス制限=無効
ドメインユーザーテンプレート:
アイドルカット=無効
セルフサービス=無効
メッセンジャー時間=無効
 
デフォルトドメイン名前:システム
合計1つのドメインがリストされています。
 
 
 [4500]ディスプレイ接続
 Index = 0、Username = admin @system 
 IP = 0.0.0.0 
 
 Index = 2、Username = user @ system 
 IP = xxx.xxx.xxx.xxx 
 
ユニット1:合計2つの接続が一致し、2つがリストされています。
合計2つの接続が一致し、2つがリストされています。
 [4500] 

DISP RADIUS STATISTICS:

[4500] 
%Apr 2 00:23:39:957 2000 4500 Shell/5/LOGIN:-1-ecajigas(xxx.xxx.xxx.xxx)in un it1 logindisp radius stat 
 state statistic(total = 1048):
 DEAD = 1046 AuthProc = 0 AuthSucc = 0 
 AcctStart = 0 RLTSend = 0 RLTWait = 2 
 AcctStop = 0 OnLine = 2 Stop = 0 
 StateErr = 0 
 
受信および送信パケット統計:
ユニット1.................。 ..................... 
送信PKT合計:4受信PKT合計:1 
再送信時間再送信合計
 1 1 
 2 1 
合計2 
 RADIUS受信パケット統計:
 Code = 2、Num = 1、Err = 0 
 Code = 3 、Num = 0、Err = 0 
 Code = 5、Num = 0、Err = 0 
 Code = 11、Num = 0、Err = 0 
 
実行中の統計:
 RADIUS受信メッセージ統計:
通常の認証要求、Num = 1、Er r = 0、Succ = 1 
 EAP認証リクエスト、Num = 0、Err = 0、Succ = 0 
アカウントリクエスト、Num = 1、Err = 0、Succ = 1 
アカウントオフリクエスト、Num = 0、Err = 0、Succ = 0 
 PKT認証タイムアウト、Num = 0、Err = 0、Succ = 0 
 PKT acct_timeout、Num = 3、Err = 1、Succ = 2 
リアルタイムアカウントタイマー、Num = 0、Err = 0、Succ = 0 
 PKT応答、Num = 1、Err = 0、Succ = 1 
 EAP reauth_request、Num = 0、Err = 0、Succ = 0 
 PORTAL access、Num = 0、Err = 0、Succ = 0 
 Update ack、Num = 0、Err = 0、Succ = 0 
 PORTAL access ack、Num = 0、Err = 0、Succ = 0 
 Session ctrl pkt、Num = 0、Err = 0、Succ = 0 
 RADIUS送信メッセージ統計:[._ ___。]認証受け入れ、Num = 0 
認証拒否、Num = 0 
 EAP認証応答、Num = 0 
アカウント成功、Num = 0 
アカウント障害、Num = 0 
 Cut req、Num = 0 
 RecError_MSG_sum:0 SndMSG_Fail_sum:0 
 Timer_Err:0 Alloc_Mem_Err:0 
 State Mismatch:0 Other_Error:0 
 
 No-response-acct-stop packet = 0 
バッファオーバーフロー= 0 
の破棄されたNo-response-acct-stopパケット

もう1つの問題は、RADIUSサーバーが利用できない場合、スイッチにログインできないことです。スイッチには3つのローカルアカウントがありますが、いずれも機能しません。使用するスイッチを指定するにはどうすればよいですか。 RADIUSサービスが利用できない場合のローカルアカウント?

2
3D1L

SSHとRADIUS認証を使用して、3com 45および55にログインできますが、IASでセットアップするのは少し面倒です。

ローカルフェイルオーバーを使用したRADIUS認証

SW5500で機能する構成は次のとおりです。

 sysname 5500-SI
#
 password-control length 4
 password-control history 2
 password-control login-attempt 3 exceed lock-time 120
#
 super password level 3 simple password
#
 local-server nas-ip 127.0.0.1 key 3com
#
 domain default enable 3comdevicelogin
#
 dot1x
 dot1x timer tx-period 10
 dot1x timer handshake-period 1024
 dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
 server-type standard
 primary authentication 152.67.101.23
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
 server-type extended
 primary authentication 152.67.101.39
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
domain 3comdevicelogin
 scheme radius-scheme 3ComDeviceLogin local
domain apsc
 scheme radius-scheme 3comapsc
domain system
#
local-user admin
 service-type ssh telnet terminal
 level 3
 password-control aging 90
local-user manager
 service-type ssh telnet terminal
 level 2
local-user monitor
 service-type ssh telnet terminal
 level 1
#
1
dragon8_uk