Не получается зайти на коммутатор CloudEngine6800 с Radius аккаунтом

330 0 0 0

Имеется коммутатор CE6851HI c ПО версии V100R005C10SPC200.

На коммутаторе был настроек Radius сервер, но подключение пользователей с Radius аккаунтами по SSH и по Telnet не происходило. При этом подключение с локальной учетной записью осуществлялось без проблем.

Настройки коммутатора, относящиеся к Radius:

#

radius enable

#

radius server group radius_group

radius server shared-key-cipher %^%#78dsfs%WKI(<vz#_"9CZAgVAMP~Rr+gcxuL{+*]Q03tHR8&z~3#%DT:E-`H"pmyd!p*J)(-=`c:y{{sdfsfSDFS^$%^#`:AS3r3hZ(m2%^%#

radius server authentication 192.168.1.1 1812 source ip-address 192.168.1.2

radius server accounting 192.168.1.1 1812 source ip-address 192.168.1.2

radius server user-name original

#

authentication-scheme auth_scheme

  authentication-mode radius

#

accounting-scheme account_scheme

  accounting-mode radius

#

domain default

#

domain default_admin

#

domain huawei

  authentication-scheme auth_scheme

  accounting-scheme account_scheme

  radius server group radius_group

#

 

Проверка через анализ трафика на Wireshark показала, что коммутатор ничего не отсылает на Radius сервер при попытке логина. Уточнил, что логины при попытках подключения используется без доменного имени (user@domain), например логин “test”.

По умолчанию, чтобы подключиться к устройств по SSH с Radius учетной записью, необходимо создать на коммутаторе AAA запись для каждого SSH-пользователя. В нашем случае запись должна была выглядеть следующим образом:

[Huawei]ssh user user-name test

В анализируемой конфигурации такой пользователь не был создан, для упрощения настройки добавляем строчку:

[Huawei]ssh authentication-type default password

Она избавляет нас от необходимости создавать для каждого пользователя AAA запись, и по умолчанию не включена. Подробнее о команде: http://support.huawei.com/hedex/hdx.do?docid=EDOC1000065658&id=ssh_authentication-type_default_password&text=ssh authentication-type default password&lang=en

Проверяем снова - подключение все еще не работает.

Проверяем настройку домена:

domain default

#

domain default_admin

#

domain huawei

  authentication-scheme auth_scheme

  accounting-scheme account_scheme

  radius server group radius_group

#

По умолчанию, если пользователь не указывает домен при подключении, то используется профиль домена «default».

У нас сейчас настроен домен-профиль “huawei”. Чтобы не переносить настройки в дефолтный домен, мы настраиваем использование профиля domain huawei по умолчанию:

[Huawei]default-domain admin huawei

Подробнее о команде:

http://support.huawei.com/hedex/hdx.do?docid=EDOC1000065658&id=dc_dc_fuc_aaa_001&text=Configuring a global default administrative domain&lang=en

 После этой настройки вход с доменными учетными записями заработал.

 

 

 

Из группы: ICT CLUB Этот пост был последний раз изменен пользователем user_2968737 в 2018-10-31 05:22.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход