URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1895
[ Назад ]

Исходное сообщение
"Аутентификация на двух разных RADIUS-серверах"
Отправлено vigogne , 14-Янв-16 11:09

Добрый день!
Есть парк оборудования Cisco, есть NPS (RADIUS от Microsoft), авторизующий пользователей в AD. Все прекрасно работает, но недавно на меня вышли админы головной организации, они тоже у себя подняли такой же NPS и требуют, чтобы они могли заходить на мое железо, но под учетками своего домена (раньше они заходили под локальными учетками).
Вощемта не вопрос, думаю я, пишу такой код:
aaa new-model
!
!
aaa group server radius MY
server name MY
deadtime 1
!
aaa group server radius HEAD
server name HEAD-DC1
server name HEAD-DC2
deadtime 2
!
aaa authentication login default local group MY group HEAD
aaa authentication enable default none
!
radius server MY
address ipv4 10.0.0.254 auth-port 1645 acct-port 1646
key 7 XXXXXXXXXXXXX
!
radius server HEAD-DC1
address ipv4 10.99.0.94 auth-port 1645 acct-port 1646
timeout 3
retransmit 1
key 7 YYYYYYYYYYY
!
radius server HEAD-DC2
address ipv4 10.99.0.95 auth-port 1645 acct-port 1646
timeout 3
retransmit 1
key 7 YYYYYYYYYYY
Вроде бы все должно быть в шоколаде, но, главадмины не могут зайти. Циски, получив от МОЕГО NPS reject, сразу отказывают во входе, а не спрашивают у следующего по списку.
Если я поставлю aaa authentication login default local group HEAD group MY (т.е. поменяю последовательность серверов с списке) то зайти уже не могу я, а главадмины заходят.
Отсюда вопрос, можно ли и как сделать, чтобы циски, получив reject от первого radius-сервера, спрашивали у следующего?

Содержание

Аутентификация на двух разных RADIUS-серверах,ShyLion, 14:26 , 14-Янв-16
- Аутентификация на двух разных RADIUS-серверах,vigogne, 14:51 , 14-Янв-16

Сообщения в этом обсуждении

"Аутентификация на двух разных RADIUS-серверах"
Отправлено ShyLion , 14-Янв-16 14:26

Нужно на своем радиусе настроить проксирование запросов на вышестоящий. Условием проброса поставить например домен вышестоящих.
Циску настраивать только на свой.
Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда можно настроить оба, будет резервирование.
вместо домена можно по части в имени пользователя разделять, там регулярное выражение прописывается.
В русской версии IAS на 2003 сервере это раздел "Обработка запроса на подключение",
там задается группа внешних серверов и условие для обращения к ним. В NPS должно быть аналогично, ибо яйца те-же, вид сбоку.

"Аутентификация на двух разных RADIUS-серверах"
Отправлено vigogne , 14-Янв-16 14:51

>[оверквотинг удален]
> поставить например домен вышестоящих.
> Циску настраивать только на свой.
> Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда
> можно настроить оба, будет резервирование.
> вместо домена можно по части в имени пользователя разделять, там регулярное выражение
> прописывается.
> В русской версии IAS на 2003 сервере это раздел "Обработка запроса на
> подключение",
> там задается группа внешних серверов и условие для обращения к ним. В
> NPS должно быть аналогично, ибо яйца те-же, вид сбоку.
Большое спасибо, будем покурить :)