Usuários loggin para switches 3Com autenticados por radius não obtendo admin priv e nenhum acesso disponível com serviço radius down

2

Seguindo a configuração que tenho para os meus dispositivos Cisco, obtive um nível básico de funcionalidade que autentica os usuários que fazem login nos switches 3Com autenticados em um servidor RADIUS. O problema é que eu não consigo fazer o usuário obter privilégios de administrador. Estou usando o serviço IAS da Microsoft. De acordo com a documentação da 3Com ao configurar a política de acesso no IAS, o valor de 010600000003 deve ser usado para especificar o nível de acesso de administrador. Esse valor deve ser inserido na seção Perfil de discagem:

010600000003 - indicates admin privileges  
010600000002 - manager  
010600000001 - monitor  
010600000000 - visitor  

Aqui está a configuração no switch:

radius scheme system  
 server-type standard  
 primary authentication XXX.XXX.XXX.XXX  
 accounting optional  
 key authentication XXXXXX  
 key accounting XXXXXX  
#  
domain system  
 scheme radius-scheme system  
#  
local-user admin  
 service-type ssh telnet terminal  
 level 3  
local-user manager  
 service-type ssh telnet terminal  
 level 2  
local-user monitor  
 service-type ssh telnet terminal  
 level 1  

A configuração está funcionando com o servidor IAS porque posso verificar os eventos de login do usuário com a ferramenta Eventviewer.

Aqui está a saída do comando DISPLAY RADIUS no switch:

 [4500]disp radius

------------------------------------------------------------------

SchemeName  =system                           Index=0    Type=standard  
Primary Auth IP  =XXX.XXX.XXX.XXX  Port=1645   State=active  
Primary Acct IP  =127.0.0.1        Port=1646   State=active  
Second  Auth IP  =0.0.0.0          Port=1812   State=block  
Second  Acct IP  =0.0.0.0          Port=1813   State=block  
Auth Server Encryption Key= XXXXXX  
Acct Server Encryption Key= XXXXXX  
Accounting method = optional  
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12  
Permitted send realtime PKT failed counts       =5  
Retry sending times of noresponse acct-stop-PKT =500  
Quiet-interval(min)                             =5  
Username format                                 =without-domain  
Data flow unit                                  =Byte  
Packet unit                                     =1  


------------------------------------------------------------------

Total 1 RADIUS scheme(s). 1 listed  

Aqui está a saída dos comandos DISPLAY DOMAIN e DISPLAY CONNECTION depois que os usuários fazem login no switch:

[4500]display domain  
0  Domain = system  
   State = Active  
   RADIUS Scheme = system  
   Access-limit = Disable  
   Domain User Template:  
   Idle-cut = Disable  
   Self-service = Disable  
   Messenger Time = Disable  

Default Domain Name: system  
Total 1 domain(s).1 listed.  


[4500]display connection  
Index=0   ,Username=admin@system  
 IP=0.0.0.0  

Index=2   ,Username=user@system  
 IP=xxx.xxx.xxx.xxx  

 On Unit 1:Total 2 connections matched, 2 listed.  
 Total 2 connections matched, 2 listed.  
[4500]  

Aqui estão as ESTATÍSTICAS DISP RADIUS:

[4500]  
%Apr  2 00:23:39:957 2000 4500 SHELL/5/LOGIN:- 1 - ecajigas(xxx.xxx.xxx.xxx) in un                                 it1 logindisp radius stat  
state statistic(total=1048):  
     DEAD=1046     AuthProc=0        AuthSucc=0  
AcctStart=0         RLTSend=0         RLTWait=2  
 AcctStop=0          OnLine=2            Stop=0  
 StateErr=0  

Received and Sent packets statistic:
Unit 1........................................
Sent PKT total  :4        Received PKT total:1  
Resend Times     Resend total  
1                1  
2                1  
Total            2  
RADIUS received packets statistic:  
Code= 2,Num=1       ,Err=0  
Code= 3,Num=0       ,Err=0  
Code= 5,Num=0       ,Err=0  
Code=11,Num=0       ,Err=0  

Running statistic:  
RADIUS received messages statistic:  
Normal auth request             , Num=1       , Err=0       , Succ=1  
EAP auth request                , Num=0       , Err=0       , Succ=0  
Account request                 , Num=1       , Err=0       , Succ=1  
Account off request             , Num=0       , Err=0       , Succ=0  
PKT auth timeout                , Num=0       , Err=0       , Succ=0  
PKT acct_timeout                , Num=3       , Err=1       , Succ=2  
Realtime Account timer          , Num=0       , Err=0       , Succ=0  
PKT response                    , Num=1       , Err=0       , Succ=1  
EAP reauth_request              , Num=0       , Err=0       , Succ=0  
PORTAL access                   , Num=0       , Err=0       , Succ=0  
Update ack                      , Num=0       , Err=0       , Succ=0  
PORTAL access ack               , Num=0       , Err=0       , Succ=0  
Session ctrl pkt                , Num=0       , Err=0       , Succ=0  
RADIUS sent messages statistic:  
Auth accept                     , Num=0  
Auth reject                     , Num=0  
EAP auth replying               , Num=0  
Account success                 , Num=0  
Account failure                 , Num=0  
Cut req                         , Num=0  
RecError_MSG_sum:0        SndMSG_Fail_sum :0  
Timer_Err       :0        Alloc_Mem_Err   :0  
State Mismatch  :0        Other_Error     :0  

No-response-acct-stop packet =0  
Discarded No-response-acct-stop packet for buffer overflow =0  

O outro problema é que, quando o servidor RADIUS não está disponível, não consigo fazer login no switch. O switch tem 3 contas locais, mas nenhuma delas funciona. Como posso especificar o switch para usar as contas locais, caso o serviço RADIUS não esteja disponível?

    
por 3D1L 14.05.2010 / 16:14

1 resposta

1

Podemos fazer login nas 3coms 45 e 55 usando a autenticação SSH e RADIUS, mas é um pouco trabalhoso configurar com o IAS.

Autenticação RADIUS com failover local

Aqui está a configuração que funciona no SW5500.

 sysname 5500-SI
#
 password-control length 4
 password-control history 2
 password-control login-attempt 3 exceed lock-time 120
#
 super password level 3 simple password
#
 local-server nas-ip 127.0.0.1 key 3com
#
 domain default enable 3comdevicelogin
#
 dot1x
 dot1x timer tx-period 10
 dot1x timer handshake-period 1024
 dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
 server-type standard
 primary authentication 152.67.101.23
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
 server-type extended
 primary authentication 152.67.101.39
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
domain 3comdevicelogin
 scheme radius-scheme 3ComDeviceLogin local
domain apsc
 scheme radius-scheme 3comapsc
domain system
#
local-user admin
 service-type ssh telnet terminal
 level 3
 password-control aging 90
local-user manager
 service-type ssh telnet terminal
 level 2
local-user monitor
 service-type ssh telnet terminal
 level 1
#
    
por 16.07.2010 / 14:35