Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

Кожна команда має рівень привілеїв (0-14). На даний момент команди мають рівень привілеїв 0, 3, 13 або 14. Користувач має доступ тільки до тих команд, у яких рівень привілеїв менше або дорівнює рівню привілеїв облікового запису користувача. Наприклад, якщо для облікового запису встановлено рівень привілеїв 13, користувач з цим обліковим записом може використовувати всі команди з рівнями привілеїв від 0 до 13. Команди з рівнем привілеїв 0 доступні для всіх облікових записів.
Якщо для аутентифікації користувачів задіяний зовнішній сервер RADIUS, для визначення рівня привілеїв облікового запису на сервері RADIUS можна використовувати спеціальний атрибут виробника VSA (Vendor Specific Attribute).

У керівництві користувача або в довіднику командного інтерфейсу Ethernet-комутатори ви можете дізнатись, які команди до якого рівня привілеїв відносяться (наприклад, створювати нові облікові записи, змінювати пароль облікового запису адміністратора і привілейованого режиму Enable, встановлювати методи аутентифікації може тільки користувач з рівнем привілеїв 14) .

Припустимо, що є наступна схема:

Налаштування AAA на MGS-3712

1) встановити з'єднання із веб-конфігуратору комутатора, зайдіть в меню Advanced Application> AAA і натисніть RADIUS Server Setup.

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

3) Потім поверніться в меню Advanced Application> AAA і натисніть AAA Setup.

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

4) Налаштуйте розділи Authentication і Authorization в меню AAA Setup.
У розділі Authentication в полях Privilege Enable можна визначити, до якої базі даних повинен звертатися комутатор (в першу, другу і третю чергу) для аутентифікації рівня привілеїв облікових записів адміністраторів (користувачів, які керують комутатором). Для аутентифікації привілеїв доступу адміністраторів на комутаторі можна вказати до трьох методів. Даний комутатор намагається використовувати кожен з методів в тому порядку, в якому вони вказані (спочатку Method 1, потім Method 2 і, нарешті, Method 3). В поле Method 1 обов'язково повинен бути обраний один з методів. Якщо комутатор повинен звертатися і до інших джерел для перевірки привілеїв доступу, їх необхідно вказати в полях Method 2 і Method 3.
У разі вибору значення local для перевірки рівня привілеїв комутатор буде звертатися до налаштованим на ньому записів. У разі вибору значення radius перевірка рівня привілеїв буде здійснюватися комутатором за допомогою зовнішнього RADIUS-сервера.

У полях Login можна визначити, до якої базі даних повинен звертатися комутатор (в першу, другу і третю чергу) для аутентифікації облікових записів адміністраторів (користувачів, які керують комутатором).
У разі вибору значення local для перевірки облікових записів адміністраторів комутатор буде звертатися до записів, налаштованим в меню Access Control> Logins. У разі вибору значення radius для перевірки облікових записів адміністраторів комутатор буде звертатися до серверів RADIUS, налаштованим в меню RADIUS Server Setup.

У розділі Authorization встановіть перемикач в поле Active. щоб активувати функцію обліку для типів подій Exec і Dot1x.
Exec - в разі ви вибрали цей варіант комутатор буде передавати інформацію про вхід і вихід адміністратора системи через консольний порт, Telnet або SSH.
Dot1x - в разі ви вибрали цей варіант комутатор буде передавати інформацію про початок клієнтами сеансів IEEE 802.1x (аутентифікація на комутаторі), завершення сеансів, а також проміжних оновленнях про стан сеансів.
В поле Method виберіть метод radius для обліку подій певного типу.

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

1) Відредагуйте файл clients.conf. вказавши в якості клієнта RADIUS-сервера комутатор MGS-3712.

2) Додайте словник ZyXEL dictionary.zyxel.

3) Налаштуйте словник ZyXEL і додайте новий атрибут в файл dictionary.zyxel.

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

4) Додайте обліковий запис (наприклад, cso) з рівнем привілеїв 13 в / etc / raddb / users.

5) Запустіть RADIUS-сервер FreeRADIUS.

Для перевірки налаштування Ehternet-комутатора MGS-3712 і зовнішнього RADIUS-сервера виконайте підключення до комутатора, використовуючи обліковий запис cso з паролем +1234.

C: \ Documents and Settings \ Harry> telnet 172.25.27.150

Приклад настройки aaa і зовнішнього radius-сервера, zyxel russia

Після успішного підключення за допомогою команди show privilege можна подивитися рівень привілеїв поточного облікового запису. У нашому прикладі рівень привілеїв 13 призначений для облікового запису cso.

Як зазначалося вище, існує RADIUS-сервер версії FreeRADIUS Windows Edition для роботи в ОС Windows.
У цьому додатку ми наведемо приклад створити обліковий запис за рівнем привілеїв 13 в FreeRADIUS Windows Edition для Ethernet-комутатори MGS-3712.

2) Відредагуйте і потім збережіть файл C: \ FreeRADIUS.net \ etc \ raddb \ clients.conf. В даному файлі потрібно вказати в якості клієнта RADIUS-сервера комутатор MGS-3712.

client 172.25.27.180 <
secret = 1 234
shortname = MGS-3712
nastype = other
>

3) Змініть C: \ FreeRADIUS.net \ etc \ raddb \ dictionary. Додайте словник ZyXEL в цей конфігураційний файл.