j'ai compris

Exemple de configuration de l'authentification et de la comptabilité RADIUS

publié il y a  2021-7-29 17:19:05 42 0 0 0 0

OBJECTIF

Le but de cet article est de présenter une configuration de base de serveur RADIUS en pratique.


Exigences de mise en réseau


Comme le montre la figure 1 , les utilisateurs appartiennent au domaine huawei . Le commutateur fonctionne en tant que serveur d'accès au réseau sur le réseau de destination, fournissant un accès aux utilisateurs uniquement une fois qu'ils sont authentifiés à distance par le serveur. L'authentification à distance sur Switch est décrite comme suit :


Le serveur RADIUS authentifiera les utilisateurs d'accès pour le commutateur. Si l'authentification RADIUS échoue, l'authentification locale est utilisée.


Les serveurs RADIUS à 192.168.61.6/24 fonctionnent respectivement comme serveurs d'authentification et de comptabilité primaire et secondaire. Le port d'authentification et le port de comptabilité par défaut sont respectivement 1812 et 1813.

img_1


Figure 1 - Schéma de mise en réseau de l'authentification et de la comptabilité RADIUS


Feuille de route de configuration


La feuille de route de configuration est la suivante :


1. Configurez un modèle de serveur RADIUS.


2. Configurez un schéma d'authentification et un schéma comptable.


3. Appliquez le modèle de serveur RADIUS, le schéma d'authentification et le schéma de comptabilité à un domaine.


i_f42.gifAssurez-vous que les périphériques sont routables avant la configuration.


Assurez-vous que la clé partagée dans le modèle de serveur RADIUS est la même que le paramètre sur le serveur RADIUS.


Si le serveur RADIUS n'accepte pas le nom d'utilisateur contenant le nom de domaine, exécutez la commande undo radius-server user-name domain-included dans la vue du modèle de serveur RADIUS pour configurer le périphérique afin qu'il envoie des paquets qui ne contiennent pas le nom de domaine au Serveur RADIUS.


Une fois que le domaine est défini sur le domaine par défaut global et que le nom d'utilisateur d'un utilisateur porte le nom de domaine ou ne porte aucun nom de domaine, l'utilisateur utilise les informations de configuration AAA dans le domaine par défaut global.


Après l' exécution de la commande undo radius-server user-name domain-included , le périphérique modifie uniquement le format du nom d'utilisateur dans le paquet envoyé et le domaine auquel l'utilisateur appartient n'est pas affecté. Par exemple, après l'exécution de cette commande, l'utilisateur avec le nom d'utilisateur user@huawei.com utilise toujours les informations de configuration AAA dans le domaine nommé huawei.com .


Procédure


1. Configurez un modèle de serveur RADIUS.


# Configurez un modèle RADIUS nommé ACME .


<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] radius-server template ACME              


# Définissez l'adresse IP et les numéros de port du serveur principal d' authentification et de comptabilité RADIUS .


[Switch-radius-ACME] radius-server authentication 192.168.61.6 1812 weight 80
[Switch-radius-ACME] radius-server accounting 192.168.61.6 1813 weight 80

# Définissez la clé partagée et le nombre de retransmissions pour le serveur RADIUS et configurez le périphérique pour ne pas encapsuler le nom de domaine dans le nom d'utilisateur lors de l'envoi de paquets RADIUS au serveur RADIUS.


[Switch-radius-ACME] radius-server shared-key cipher Huawei@123
[Switch-radius-ACME] radius-server retransmit 2
[Switch-radius-ACME] undo radius-server user-name domain-included
[Switch-radius-ACME] quit


2. Configurez les schémas d'authentification et de comptabilité.


# Créez un schéma d'authentification nommé auth Configurer l'authentificationschéma d' authentification pour utiliser l'authentification RADIUS comme mode d'authentification actif et l'authentification locale comme sauvegarde.


[Switch] aaa
[Switch-aaa] authentication-scheme auth
[Switch-aaa-auth] authentication-mode radius local
[Switch-aaa-auth] quit


# Créez un schéma de comptabilisation nommé acc et configurez le schéma de comptabilisation pour utiliser le mode de comptabilisation RADIUS Configurez une stratégie pour l'appareil afin de maintenir les utilisateurs en ligne en cas d'échec du démarrage de la comptabilité.


[Switch-aaa] accounting-scheme acc
[Switch-aaa-accounting-acc] authentication-mode radius
[Switch-aaa-accounting-acc] accounting start-fail online
[Switch-aaa-accounting-acc] quit



3. Créez un domaine nommé huawei et appliquez le schéma d'authentification auth , le schéma de comptabilité acc et le modèle de serveur RADIUS ACME au domaine.


[Switch-aaa] domain huawei
[Switch-aaa-domain-huawei] authentication-scheme auth
[Switch-aaa-domain-huawei] accounting-scheme acc
[Switch-aaa-domain-huawei] radius-server ACME
[Switch-aaa-domain-huawei] quit
[Switch-aaa] quit


4. Définissez le domaine huawei sur le domaine par défaut global.


[Switch] domain huawei
[Switch] domain huawei admin


5. Configurez l'authentification locale.


[Switch] aaa
[Switch-aaa] local-user user1 password irreversible-cipher Huawei@123
[Switch-aaa] local-user user1 service-type http
[Switch-aaa] local-user user1 privilege level 15
[Switch-aaa] quit


6. Vérifiez la configuration.


# Exécutez la commande display radius-server configuration template -name sur le commutateur pour vérifier la configuration du modèle de serveur RADIUS.


[Switch] display radius-server configuration template ACME
  ------------------------------------------------------------------------------
  Server-template-name          :  ACME
  Protocol-version              :  standard
  Traffic-unit                  :  B
  Shared-secret-key             :  ******
  Group-filter                  :  class  
  Timeout-interval(in second)   :  5
  Retransmission                :  2
  EndPacketSendTime             :  3
  Dead time(in minute)          :  5
  Domain-included               :  NO
  NAS-IP-Address                :  -
  Calling-station-id MAC-format :  xxxx-xxxx-xxxx
  Called-station-id MAC-format  :  XX-XX-XX-XX-XX-XX
  NAS-Port-ID format            :  New 
  Service-type                  :  - 
  NAS-IPv6-Address              :  ::
  Server algorithm              :  master-backup 
  Detect-interval(in second)    :  60 
  Detect up-server(in second)   :  0
  Detect timeout(in second)     :  3
  Chargeable-user-identity      :  Not Support
  CUI Not reject                :  No
  Enable framed-ip-address      :  No
  Authentication Server 1       :  192.168.61.6     Port:1812  Weight:80  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::  
                                   Source IP: ::
  Accounting Server     1       :  192.168.61.6     Port:1813  Weight:80  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  ------------------------------------------------------------------------------


Fichiers de configuration


Fichier de configuration du commutateur :


#
 sysname Switch
#
domain huawei                                                                                                                       
domain huawei admin                                                                                                                 
# 
radius-server template ACME
 radius-server shared-key cipher %^%#{E#Q$7Lhi~+|4[K#qAc2w^Ur"!>!h%6z>xN_ap$=%^%#
 radius-server authentication 192.168.61.6 1812 weight 80
 radius-server accounting 192.168.61.6 1813 weight 80
 radius-server retransmit 2
 undo radius-server user-name domain-included
#
aaa
 authentication-scheme auth
  authentication-mode radius local
 accounting-scheme acc
  accounting-mode radius
  accounting start-fail online 
 domain huawei
  authentication-scheme auth
  accounting-scheme acc
  radius-server ACME
 local-user user1 password irreversible-cipher $1c$J64VRwN{N,$-q3h(w2#EP(RNiI\4M-Yax.,Lfe]>Zd:aD$l#Ph>$
 local-user user1 privilege level 15                                                       
 local-user user1 service-type http
#
return


--- Fin

  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.