Ciscoデバイス用に設定した後、RADIUSサーバーに対して認証された3Comスイッチにログインするユーザーを認証する基本レベルの機能を取得しました。問題は、ユーザーを次の場所に認証できないことです。管理者権限を取得します。MicrosoftのIASサービスを使用しています。IASでアクセスポリシーを設定する際の3Comのドキュメントによると、管理者アクセスレベルを指定するには値01060000003を使用する必要があります。この値はダイヤルインプロファイルセクションに入力する必要があります:
010600000003-管理者権限を示します 010600000002-マネージャー 010600000001-モニター 010600000000-訪問者
スイッチの構成は次のとおりです。
半径スキームシステム サーバータイプ標準 プライマリ認証XXX.XXX.XXX.XXX アカウンティングオプション キー認証XXXXXX キーアカウンティングXXXXXX # ドメインシステム スキームradius-schemeシステム # local-user admin service-type sshtelnet端末 レベル3 ローカルユーザーマネージャー サービスタイプsshtelnet端末 レベル2 ローカルユーザーモニター サービスタイプのsshtelnet端末 レベル1
Eventviewerツールを使用してユーザーログインイベントを確認できるため、構成はIASサーバーで機能しています。
スイッチでのDISPLAY RADIUSコマンドの出力は次のとおりです。
[4500] disp radius ----------------------------------- ------------------------------- SchemeName = system Index = 0 Type = standard プライマリ認証IP = XXX.XXX.XXX.XXXポート= 1645状態=アクティブ プライマリアカウントIP = 127.0.0.1ポート= 1646状態=アクティブ 2番目の認証IP = 0.0 .0.0 Port = 1812 State = block Second Acct IP = 0.0.0.0 Port = 1813 State = block Auth Server Encryption Key = XXXXXX Acct Server Encryption Key = XXXXXX アカウンティングメソッド=オプション TimeOutValue(秒単位)= 3RetryTimes = 3 RealtimeACCT(分単位)= 12 許可された送信リアルタイムPKT失敗カウント= 5 送信回数の再試行of noresponse acct-stop-PKT = 500 Quiet-interval(min)= 5 Username format = without-domain Data flow unit = Byte Packet unit= 1 --------------------------------- --------------------------------- 合計1 RADIUSスキーム。 1つリストされています
ユーザーがスイッチにログインした後のDISPLAYDOMAINコマンドとDISPLAYCONNECTIONコマンドの出力は次のとおりです。
[4500]ドメインの表示 0ドメイン=システム 状態=アクティブ RADIUSスキーム=システム アクセス制限=無効 ドメインユーザーテンプレート: アイドルカット=無効 セルフサービス=無効 メッセンジャー時間=無効 デフォルトドメイン名前:システム 合計1つのドメインがリストされています。 [4500]ディスプレイ接続 Index = 0、Username = admin @system IP = 0.0.0.0 Index = 2、Username = user @ system IP = xxx.xxx.xxx.xxx ユニット1:合計2つの接続が一致し、2つがリストされています。 合計2つの接続が一致し、2つがリストされています。 [4500]
DISP RADIUS STATISTICS:
[4500] %Apr 2 00:23:39:957 2000 4500 Shell/5/LOGIN:-1-ecajigas(xxx.xxx.xxx.xxx)in un it1 logindisp radius stat state statistic(total = 1048): DEAD = 1046 AuthProc = 0 AuthSucc = 0 AcctStart = 0 RLTSend = 0 RLTWait = 2 AcctStop = 0 OnLine = 2 Stop = 0 StateErr = 0 受信および送信パケット統計: ユニット1.................。 ..................... 送信PKT合計:4受信PKT合計:1 再送信時間再送信合計 1 1 2 1 合計2 RADIUS受信パケット統計: Code = 2、Num = 1、Err = 0 Code = 3 、Num = 0、Err = 0 Code = 5、Num = 0、Err = 0 Code = 11、Num = 0、Err = 0 実行中の統計: RADIUS受信メッセージ統計: 通常の認証要求、Num = 1、Er r = 0、Succ = 1 EAP認証リクエスト、Num = 0、Err = 0、Succ = 0 アカウントリクエスト、Num = 1、Err = 0、Succ = 1 アカウントオフリクエスト、Num = 0、Err = 0、Succ = 0 PKT認証タイムアウト、Num = 0、Err = 0、Succ = 0 PKT acct_timeout、Num = 3、Err = 1、Succ = 2 リアルタイムアカウントタイマー、Num = 0、Err = 0、Succ = 0 PKT応答、Num = 1、Err = 0、Succ = 1 EAP reauth_request、Num = 0、Err = 0、Succ = 0 PORTAL access、Num = 0、Err = 0、Succ = 0 Update ack、Num = 0、Err = 0、Succ = 0 PORTAL access ack、Num = 0、Err = 0、Succ = 0 Session ctrl pkt、Num = 0、Err = 0、Succ = 0 RADIUS送信メッセージ統計:[._ ___。]認証受け入れ、Num = 0 認証拒否、Num = 0 EAP認証応答、Num = 0 アカウント成功、Num = 0 アカウント障害、Num = 0 Cut req、Num = 0 RecError_MSG_sum:0 SndMSG_Fail_sum:0 Timer_Err:0 Alloc_Mem_Err:0 State Mismatch:0 Other_Error:0 No-response-acct-stop packet = 0 バッファオーバーフロー= 0 の破棄されたNo-response-acct-stopパケット
もう1つの問題は、RADIUSサーバーが利用できない場合、スイッチにログインできないことです。スイッチには3つのローカルアカウントがありますが、いずれも機能しません。使用するスイッチを指定するにはどうすればよいですか。 RADIUSサービスが利用できない場合のローカルアカウント?
SSHとRADIUS認証を使用して、3com 45および55にログインできますが、IASでセットアップするのは少し面倒です。
ローカルフェイルオーバーを使用したRADIUS認証
SW5500で機能する構成は次のとおりです。
sysname 5500-SI
#
password-control length 4
password-control history 2
password-control login-attempt 3 exceed lock-time 120
#
super password level 3 simple password
#
local-server nas-ip 127.0.0.1 key 3com
#
domain default enable 3comdevicelogin
#
dot1x
dot1x timer tx-period 10
dot1x timer handshake-period 1024
dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
server-type standard
primary authentication 152.67.101.23
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
server-type extended
primary authentication 152.67.101.39
accounting optional
key authentication radius
user-name-format without-domain
nas-ip 152.67.101.54
#
domain 3comdevicelogin
scheme radius-scheme 3ComDeviceLogin local
domain apsc
scheme radius-scheme 3comapsc
domain system
#
local-user admin
service-type ssh telnet terminal
level 3
password-control aging 90
local-user manager
service-type ssh telnet terminal
level 2
local-user monitor
service-type ssh telnet terminal
level 1
#