Господа, не дайте погибнуть, лучше назовите меня идиотом :) Ниже приведу лог free radius сервера, а проблема такова — настроил cisco catalyst на аутентификацию на радиус сервере и на циске и на серваке завел юзера, указал логин, пароль. Далее на сервере завел клиента, указал ип адрес циски и ключ. На вскидку в конфах все нормально, все настройки самого сервера из коробки, т.е. по дефолту. Теперь начинаем процесс аутентификации, смотрю что происходит на серваке — видно что циска на сервак ломится, ключ корректный, далее циска отправляет пару логин/пароль сервак пытается их проверить и почему-то говорит, что аутентифиуаиця не пройдена, неверный логин? зотя логин точно верный, как и пароль. Почему он это говорит??? Вот лог с сервака:
Nothing to do. Sleeping until we see a request.
rad_recv: Access-Request packet from host 172.17.17.211:1812, id=3, length=77
NAS-IP-Address = 172.17.17.211
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = «cisco»
Calling-Station-Id = «172.17.18.62»
User-Password = «lancer»
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 10
modcall[authorize]: module «preprocess» returns ok for request 10
modcall[authorize]: module «chap» returns noop for request 10
modcall[authorize]: module «mschap» returns noop for request 10
rlm_realm: No '@' in User-Name = «cisco», looking up realm NULL
rlm_realm: No such realm «NULL»
modcall[authorize]: module «suffix» returns noop for request 10
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module «eap» returns noop for request 10
users: Matched entry cisco at line 53
modcall[authorize]: module «files» returns ok for request 10
modcall: group authorize returns ok for request 10
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Login incorrect: [cisco/lancer] (from client chlm-test-danilov port 1 cli 172.17.18.62)
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ни один модуль авторизации не вернул ответа «Авторизован»
смотри настройки уже их — chap, pap, eap…
Включен и РАР и СНАР, причем поставил в РАР тип cleartext, однако ситуация не поменялась, чиьал Wiki на сайте разработчиков, вот что они предлагают:
IOS 12.x
For Cisco 12.x ( 12.0 and 12.1 ), the following AAA configuration directives are suggested:
aaa new-model
aaa authentication login default group radius local
aaa authentication login localauth local
aaa authentication ppp default if-needed group radius local
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting delay-start
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
aaa processes 6
this configuration works very well with most radius servers. One of the more important configurations is:
aaa accounting delay-start
This directive will delay the sending of the Accounting Start packet until after an IP address has been assigned during the PPP negotiation process. This will supersede the need to enable the sending of «Alive» packets as described below for IOS versions 11.x
* NOTE* with the above it will use the radius server to authenticate
your inbound 'telnet' connections. You will need to create an entry in your users file similar to the following to allow access:
!root User-Password == «somepass»
Service-Type = NAS-Prompt-User
This will let a user in for the first level of access to your Cisco. You will still need to 'enable' ( using the locally configured enable secret ) to perform any configuration changes or anything requiring a higher level of access. The username '!root' was used as an example here, you can make this any username you want, of course.
А про Auth-Type (т.е. способ аутентификации ) ни слова, циска вообще как рыба об лед, ей видимо пофиг и нафиг какие там РАР или СНАР :)) Все это смешно, если бы не было так грустно…