URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4601
[ Назад ]
Исходное сообщение
"авторизация ppp на cisco через Radius IAS в 2000-ой"
Отправлено alexk001 , 19-Янв-04 14:42 
Проблема с авторизацией ppp пользователей.
В качестве Network Access Server используется cisco 2511. Необходимо, чтобы аккаунты для удаленного доступа хранились в SAM Standalone Server'а под Windows 2000. Для этого, судя по документации, INTERNET AUTHENTICATION SERVICE (IAS) под Windows 2000 с поддержкой RADIUS подходит в самый раз. Но авторизация не проходит. В логах 2000-ого сервера с IAS сообщения о неправильном имени пользователя или пароле.
А на циске при включенных "debug radius" и "debug aaa authentication" выдается следующее:
--------------------------------------------------------------------------
AAA/AUTHEN: create_user (0x22DA7C) user='tt' ruser='' port='Async1' rem_addr='async' authen_type=CHAP service=PPP priv=1
AAA/AUTHEN/START (850814778): port='Async1' list='' action=LOGIN service=PPP
AAA/AUTHEN/START (850814778): using "default" list
AAA/AUTHEN (850814778): status = UNKNOWN
AAA/AUTHEN/START (850814778): Method=RADIUS
RADIUS: Initial Transmit id 206 10.148.21.14:1645, Access-Request, len 73
        Attribute 4 6 0A941408
        Attribute 5 6 00000001
        Attribute 61 6 00000000
        Attribute 1 4 74740313
        Attribute 3 19 52C422B5
        Attribute 6 6 00000002
        Attribute 7 6 00000001
RADIUS: Received from id 206 10.148.21.14:1645, Access-Reject, len 20
AAA/AUTHEN (850814778): status = FAIL
AAA/AUTHEN: free_user (0x22DA7C) user='tt' ruser='' port='Async1' rem_addr='async' authen_type=CHAP service=PPP priv=1
--------------------------------------------------------------------------

В конфиге, что касается radius'а:

aaa new-model
aaa authentication login default radius local
aaa authentication login no_radius enable
aaa authentication ppp default if-needed radius
aaa authorization network radius
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
......
......
radius-server host 10.148.21.14 auth-port 1645 acct-port 1646
radius-server key 123456
--------------------------------------------------------------------------
В 2000-ой, вроде все как по документации делаю.

Может кто-нибудь сталкивался с такой проблемой?

Содержание
Сообщения в этом обсуждении
"авторизация ppp на cisco через Radius IAS в 2000-ой"
Отправлено AlexDv , 19-Янв-04 18:13 
>Проблема с авторизацией ppp пользователей.
>В качестве Network Access Server используется cisco 2511. Необходимо, чтобы аккаунты для
>этого, судя по документации, INTERNET AUTHENTICATION SERVICE (IAS) под Windows 2000
>с поддержкой RADIUS подходит в самый раз. Но авторизация не проходит.
>В логах 2000-ого сервера с IAS сообщения о неправильном имени пользователя
>или пароле.


Попробуй на 2000 IAS не CHAP, а PAP.

"авторизация ppp на cisco через Radius IAS в 2000-ой"
Отправлено alexk001 , 19-Янв-04 19:47 
>>Проблема с авторизацией ppp пользователей.
>>В качестве Network Access Server используется cisco 2511. Необходимо, чтобы аккаунты для
>>этого, судя по документации, INTERNET AUTHENTICATION SERVICE (IAS) под Windows 2000
>>с поддержкой RADIUS подходит в самый раз. Но авторизация не проходит.
>>В логах 2000-ого сервера с IAS сообщения о неправильном имени пользователя
>>или пароле.
>
>
>Попробуй на 2000 IAS не CHAP, а PAP.

Большое спасибо, именно с PAP получилось!!!

Кстати, я нарыл pdf-ник с подробной докой, как настраивать IAS в контексте циски. Там тоже про PAP написано. Кому интересно, смотрите:
http://www.giac.org/practical/GCWN/Damon_Martin.pdf


"авторизация ppp на cisco через Radius IAS в 2000-ой"
Отправлено ksv1959 , 19-Янв-04 18:45 
Ситуация аналогична моей http://www.opennet.me/openforum/vsluhforumID6/4592.html ...
Какая версия IOS ?
Я уже даже пакеты RADIUS смотрел на Windows ... вроде все нормально...
Запрос приходит на сервер и RADIUS сразу шлет reject.