Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров)
Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1"
Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд".
Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания".
Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело стоит на месте.
Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific. Может быть, и можно. У меня, во всяком случае, не получается.
Может быть, какие-то особенности прописывания данного типа авторизации на Циске?
У меня стоит aaa authorization exec default group radius local.
Какие-либо ещё приписки для авторизации входящих юзеров??
aaa authorization commands? Но там ведь сразу ставится уровень...
Народ, требуется помощь.
Всем спасибо.

• Атрибут vendor-specific на FreeRaduis,Mike, 05:47 , 26-Сен-03
  • Атрибут vendor-specific на FreeRaduis,Hetene, 06:40 , 26-Сен-03
    • Атрибут vendor-specific на FreeRaduis,Mike, 10:31 , 26-Сен-03
      • Атрибут vendor-specific на FreeRaduis,Hetene, 11:35 , 26-Сен-03
        • Атрибут vendor-specific на FreeRaduis,Mike, 11:39 , 26-Сен-03

>Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров)
> Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1"
>Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд".
>
>Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания".
>
>Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело
>стоит на месте.
> Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific.
>Может быть, и можно. У меня, во всяком случае, не получается.
>
> Может быть, какие-то особенности прописывания данного типа авторизации на Циске?
> У меня стоит aaa authorization exec default group radius local.
>Какие-либо ещё приписки для авторизации входящих юзеров??
> aaa authorization commands? Но там ведь сразу ставится уровень...
>Народ, требуется помощь.
> Всем спасибо.

Будьте добры показать конфиг cisco и радиус (users, naslist)

Naslist:
# NAS Name        Short Name    Type
#----------------    ----------    ----
#portmaster1.isp.com    pm1.NY        livingston
#portmaster2.isp.com    pm1.LA        livingston
localhost        local        portslave
192.168.121.254        sisca        cisco

Users:
user1   Auth-Type := Local, User-Password == "user1"
    Service-Type = Framed-User,
    Reply-Message = "Come in, %u"

user2   Auth-Type := Local , User-Password == "user2"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"

Cisco:
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default enable group radius
aaa authorization exec default group radius none
aaa accounting send stop-record authentication failure
aaa accounting exec default start-stop group radius
aaa accounting commands 0 default start-stop group radius
aaa accounting network default start-stop group radius

>Cisco:
>aaa new-model
>aaa authentication login default group radius local
>aaa authentication enable default enable group radius
должно быть
aaa authentication enable default group radius enable
>aaa authorization exec default group radius none
>aaa accounting send stop-record authentication failure
>aaa accounting exec default start-stop group radius
>aaa accounting commands 0 default start-stop group radius
>aaa accounting network default start-stop group radius

Кроме того в Радиус нужен пользователь $enabXX$ где XX уровень привилегий
$enab15$ Auth-Type := Local , User-Password == "user2"
         Service-Type = NAS-Prompt-User

Только что проверил на FreeRADIUS Version 0.7
cisco1720#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-BK9NO3R2SY-M), Version 12.2(5), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Tue 11-Sep-01 21:07 by pwade
Image text-base: 0x800080E0, data-base: 0x80CC8EE0
                                                                                                  
ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
                                                                                                  
cisco1600 uptime is 3 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c1700-bk9no3r2sy-mz.122-5.bin"
                                                                                                  
cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory.
Processor board ID JAD05320RB8 (4267571746), with hardware revision 0000
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
                                                                                                  
Configuration register is 0x2102

Mike, если бы ты знал, как я тебе благодарен!!!!
Где ты нашёл про этот $enab15$  ????
Огромное спасибо!!
Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи в файл), то это будет просто супер. На дебаге циски этот аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
Файл acct_users?

>Mike, если бы ты знал, как я тебе благодарен!!!!
> Где ты нашёл про этот $enab15$  ????
>Огромное спасибо!!
> Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи
>в файл), то это будет просто супер. На дебаге циски этот
>аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
>Файл acct_users?
Про аккаунтинг ничего не скажу - у нас не используется вообще :)
А $enab15$ ищется через дебаг радиуса. (radiusd -X)