Problemas com Autenticacao RADIUS

olá,


estou com problemas para implementar um servidor de autenticacao radius aqui. a situacao é a seguinte:

foi configurado corretamente numa maquina linux com freeradius+mysql para o ativo de rede autenticar-se na base de dados mysql, no linux o teste de autenticacao local foi efetuado com sucesso.

mas agora quero cofigurar um Catalyst 3500 XL pra se autenticar nele e tal e estou com muitas dificuldades para fazer os procedimentos de autenticacao, como nao encontrar os comandos respectivos como se tivesse fazendo para o TACACS.

ios versao: 12.0(5.2)XU

Alguem teria um exemplo do procedimento de autenticacao?

grato.

alguem me ajude....rs

Olá boa noite,

Conforme conversamos em outro tópico lembrei que neste forum mesmo existe uma solução com Tacacs + Radius, vê se ajuda e depois avisa!!! Segue Link:

https://cisco.forumeiros.com/artigos-de-usuarios-f40/configurando-o-cisco-aaa-e-tacacs-server-para-linux-t39.htm?highlight=tacacs


Caso após você estudar este tópico acima e ainda não tenha ajudado, aponte detalhando a sua dificuldade;

1-Qual a distro que você usa? E a versão do freeradius?
2-No linux esta tudo certinho?
3-Qual erro apresenta no Cisco?
4-Quando você da um telnet na porta da aplicação de dentro do bash servidor abre? e um telnet para porta da aplicação do Cisco para Radius abre?
5- Caso após voce visualizar o artigo acima do Nakano, e executar as alterações necessario e mesmo assim o problema continuar, posta a resposta de 1 a 4.

Fico no aguardo.....

Atenciosamente,
Marcelo Guerra.

ola,

segue o que esta acontecendo:

1 - Fedora 6 , freeradius-1.1.7-3.1.fc6 e mysql-5.0.27-1.fc6
2 - no linux ta certim, com radtest consigo autenticar na base de dados dele com sucesso


[root@RADIUS ~]# radtest rgomes senhasecreta 10.3.7.66:1812 0 supersenha
Sending Access-Request of id 88 to 10.3.7.66 port 1812
User-Name = "rgomes"
User-Password = "senhasecreta"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Accept packet from host 10.3.7.66:1812, id=88, length=62
Reply-Message = "Acesso liberado!"
Framed-Compression = Van-Jacobson-TCP-IP
Service-Type = Framed-User
Framed-MTU = 1500
Framed-Protocol = PPP

3 - nao consigo dar telnet dentro do bash

[rgomes@pc rgomes]$ telnet 10.3.7.66:1812
telnet: 10.3.7.66:1812: Name or service not known
10.3.7.66:1812: Unknown host
[rgomes@pc rgomes]$ telnet 10.3.7.66
Trying 10.3.7.66...
telnet: connect to address 10.3.7.66: Connection refused

se quizer dar uma olhada do radiusd.conf (arquivo de configuracao global do radius) eu coloco aqui

4 - na hora de configurar a SW alguns comandos sao diferentes do roteador, eu fui ate aqui:

Sw(config)# aaa new-model
sw(config)# aaa group server radius meu_grupo
Sw(config)# aaa authentication login default group meu_grupo local
Sw(config)# aaa authentication ppp default if-neaded group meu_grupo local
Sw(config)# aaa authentication exec default group meu_grupo
Sw(config)# aaa accounting commands 15 default start-stop group meu_grupo
Sw(config)#aaa authentication banner # Bem vindo ao SW_teste de autenticacao #
Sw(config)#aaa authentication fail-message # Autenticacao recusada #

agora dentro do Line console 0, nao tem opcao de ''login authentication no_radius'', ai perco o meu usuario local do roteador

e nao encontro nenhum lugar para dizer a SW a porta de autenticacao, ip e senha do meu server radius, e tb volta akele erro ''AAAA-3-BADREG: Illegal registry call.'' quando tiro toda a configuracao de autenticacao ele normaliza

eu encontrei e estava seguindo pelo site da cisco o procedimento do radius mas sem todos os comandos tinha, era mais para roteador e alguns tutoriais sobre tacacs tambem, mas mudavam algumas coisas como foi dito

Olá,

Bom a primeira pergunta é, você já tem algum equipamento cisco autenticado em seu servidor? Se possui, o problema pode não ser com ele.

Siceramente sempre utilizei autenticação via tacacs, por isso vou fazer esta outra pergunta, no ACS eu tenho que cadastrar as redes e a chave de autenticação que será feita, ambos estão feitos no linux?

Quanto as linhas, isso pode acontecer dependendo se é CATOS ou IOS elas variam, e mesmo se for IOS dependendo da versão elas tbm podem mudar.

Segue minha sugestão para seu 3500, primeiro, vamos tentar não usar grupo de autenticação, retire todas as configurações que possui de AAA do switch (inclusive de dentro das lines). Após ter retirado todas, tente algumas das seguintes sugestões:

username <XXXX> privilege 15 secret <YYY>

aaa new-model
!
!
aaa authentication attempts login 2
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization exec default group radius local
aaa authorization commands 1 default group radius local
aaa authorization commands 2 default group radius local
aaa accounting exec default start-stop group radius
aaa accounting commands 1 default start-stop group radius
aaa accounting commands 2 default start-stop group radius
aaa accounting commands 15 default start-stop group radius
aaa session-id common
!
radius-server source-ports 1645-1646
radius-server host <IP do seu servidor linux>
radius source-interface <ip do 3500 cadastrado no radius>
radius-server key <chave do radius>


Algumas versões de IOS não possuem o comando group, portanto se o 3500 não aceitar esta primeira combinação, tente esta outra:

username <XXXX> privilege 15 secret <YYY>

aaa new-model
!
!
aaa authentication attempts login 2
aaa authentication login default radius local
aaa authentication enable default radius enable
aaa authorization exec default radius local
aaa authorization commands 1 default radius local
aaa authorization commands 2 default radius local
aaa accounting exec default start-stop group radius
aaa accounting commands 1 default start-stop radius
aaa accounting commands 2 default start-stop radius
aaa accounting commands 15 default start-stop radius
aaa session-id common
!
radius-server source-ports 1645-1646
radius-server host <IP do seu servidor linux>
radius source-interface <ip do 3500 cadastrado no radius>
radius-server key <chave do radius>

com isso o 3500 deve autenticar no radius, mesmo sem aplicar nada dentro das lines.

abs

Olá,

Conclui aki que o problema inicial estava que o catalyst 3500 nao tem como configurar Radius nele, só Tacacs!!
de radius q ele tem sao so algumas opcoes de grupo e mais nada..
atualizei a IOS do Switch e mesmo assim nao veio nada.
agora tava fazendo todas as configurações em cima de um roteador(esse sim tem! rs)
só que percebi que o problema nao esta em configurar o roteador, mas sim o server radius!
na hora de fazer o router# debug radius
ele retorna q n consegue nem encontrar meu carinha la
tem um topico que mostra a configuracao para o Tacacs, como a maioria de outros foruns mostra, so q de radius so mostra pra configuracao adsl e o meu radius nao ta muito legal, podem me ajudar?rsrs

axei um dos problemas: o problema era q alguns Switchs nao tem suporte a radius!!!!!!!