OBJECTIF

Le but de cet article est de présenter une vraie configuration de switch avec authentification via serveur RADIUS en pratique.

Exigences de mise en réseau

Comme le montre la figure 1 , les utilisateurs appartiennent au domaine huawei . Le commutateur fonctionne en tant que serveur d'accès au réseau sur le réseau de destination, fournissant un accès aux utilisateurs uniquement une fois qu'ils sont authentifiés à distance par le serveur. L'authentification à distance sur Switch est décrite comme suit :

Le serveur RADIUS authentifiera les utilisateurs d'accès pour le commutateur. Si l'authentification RADIUS échoue, l'authentification locale est utilisée.

Les serveurs RADIUS à 192.168.61.6/24 fonctionnent respectivement comme serveurs d'authentification et de comptabilité primaire et secondaire. Le port d'authentification et le port de comptabilité par défaut sont respectivement 1812 et 1813.

Figure 1 - Schéma de mise en réseau de l'authentification et de la comptabilité RADIUS

Procédure

Étape 1 - Configurez un modèle de serveur RADIUS.

# Configurez un modèle RADIUS nommé ACME .

# Définissez l'adresse IP et les numéros de port du serveur principal d' authentification et de comptabilité RADIUS  .

# Définissez la clé partagée et le nombre de retransmissions pour le serveur RADIUS , et configurez le périphérique pour ne pas encapsuler le nom de domaine dans le nom d'utilisateur lors de l'envoi de paquets RADIUS au serveur RADIUS.

Étape 2 - Configurez les schémas d'authentification et de comptabilité.

# Créez un schéma d'authentification nommé auth . Configurer l'authentificationschéma d' authentification pour utiliser l'authentification RADIUS comme mode d'authentification actif et l'authentification locale comme sauvegarde.

# Créez un schéma de comptabilisation nommé acc et configurez le schéma de comptabilisation pour utiliser le mode de comptabilisation RADIUS . Configurez une stratégie pour l'appareil afin de maintenir les utilisateurs en ligne en cas d'échec du démarrage de la comptabilité.

Étape 3 - Créez un domaine nommé  huawei et appliquez le schéma d'authentification  auth , le schéma de comptabilité  acc et le modèle de serveur RADIUS  ACME  au domaine.

Étape 4 - Définissez le domaine  huawei  sur le domaine global par défaut.

Étape 5 - Configurez l'authentification locale.

Étape 6 - Vérifiez la configuration.

# Exécutez la commande display radius-server configuration template -name sur le commutateur pour vérifier la configuration du modèle de serveur RADIUS.

Étape 7 - Vérification des utilisateurs sur le serveur RADIUS.

Dans l'exemple pratique, j'utiliserai un serveur FREERADIUS avec l'adresse 192.168.61.6/24.

Étape 8 - Connexion au commutateur via l'utilisateur RADIUS

Dans l'exemple pratique, nous allons nous connecter au commutateur via des utilisateurs enregistrés auprès de RADIUS.

Étape 9 - Vérification du journal d'authentification sur le serveur RADIUS

Dans l'exemple pratique, nous vérifierons le journal d'authentification sur le serveur RADIUS.

Étape 10 - Vérification des informations utilisateur sur le Switch

# Exécutez la commande  display access-user user andersoncf detail  sur Switch pour vérifier l'authentification et la méthode de l'utilisateur.

# Exécutez la commande  display access-user user huawei detail  sur Switch pour vérifier l'authentification et la méthode de l'utilisateur.

Pour terminer notre cas pratique, nous validons via switch que les utilisateurs ont été authentifiés via la méthode RADIUS .

Rappelez-vous que si le serveur est hors service pour une raison quelconque, l'authentification se fera via l'utilisateur local, dans notre exemple l'utilisateur "user1" qui a été ajouté dans l'exemple. Dans un autre post je fais le test avec l'échec de RADIUS et l'authentification via local afin de ne pas polluer l'exemple pratique avec trop d'informations.

--- Finir