forum.opennet.ru - "Настройка двух RADIUS-серверов" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настройка двух RADIUS-серверов"

Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка двух RADIUS-серверов"	+/–
Сообщение от vistarus (ok) on 24-Май-06, 11:25
Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов 1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами 2) Настроить proxy.conf одного из RADIUS-сервера
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка двух RADIUS-серверов, alchie, 12:02 , 24-Май-06, (1)

Настройка двух RADIUS-серверов, vistarus, 03:07 , 25-Май-06, (2)

Настройка двух RADIUS-серверов, scamp, 09:18 , 25-Май-06, (3)

Настройка двух RADIUS-серверов, vistarus, 09:35 , 25-Май-06, (4)

Настройка двух RADIUS-серверов, Alex, 17:41 , 25-Май-06, (5)

Настройка двух RADIUS-серверов, vistarus, 17:55 , 25-Май-06, (6)
Настройка двух RADIUS-серверов, vistarus, 06:10 , 26-Май-06, (7)

Настройка двух RADIUS-серверов, dm, 09:09 , 30-Июн-06, (8)

Настройка двух RADIUS-серверов, smooop, 09:55 , 14-Июл-10, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка двух RADIUS-серверов" +/–

Сообщение от alchie (ok) on 24-Май-06, 12:02

>Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов
>
>1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами
>2) Настроить proxy.conf одного из RADIUS-сервера

в случае, если у тебя падает этот самый проксирующий радиус, то ты имеешь облом даже в случае если у тебя второй радиус жив.
первый вариант имхо предпочтителен

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка двух RADIUS-серверов" +/–

Сообщение от vistarus (ok) on 25-Май-06, 03:07

>>Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов
>>
>>1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами
>>2) Настроить proxy.conf одного из RADIUS-сервера
>
>
>в случае, если у тебя падает этот самый проксирующий радиус, то ты
>имеешь облом даже в случае если у тебя второй радиус жив.
>
>первый вариант имхо предпочтителен
Спасибо, но еще один вопрос, я наткнулся на следующий камень, вот здесь
http://www.opennet.me/openforum/vsluhforumID6/579.html
сказано, что cisco не умеет работать с двумя RADIUS-серверами.
у меня AS 5300, эта cisco тоже не умеет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Настройка двух RADIUS-серверов" +/–

Сообщение от scamp (??) on 25-Май-06, 09:18

не в курсе, умеет ли твоя это делать, но если не умеет, то ответ напрашивается сам собой:
1. настраиваешь proxy.conf
2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf), то кошка обратится ко второму радиусу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Настройка двух RADIUS-серверов" +/–

Сообщение от vistarus (??) on 25-Май-06, 09:35

>не в курсе, умеет ли твоя это делать, но если не умеет,
>то ответ напрашивается сам собой:
>1. настраиваешь proxy.conf
>2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf),
>то кошка обратится ко второму радиусу.
Я не спец в cisco, след-но не знаю, может ли она работать с двумя RADIUS-серверами
во вторых, второй RADIUS-сервер не резервный, а дополнительный, то есть они (RADIUS-серверы) имеют каждый свою биллиноговую систему, точнее учет.
Мне нужна такая последовательность действий,
cisco запрашивает авторизацию на ПЕРВОМ, если не удачно, то перейти на ВТОРОЙ.
настраиваю proxy.conf на ПЕРВОМ, и clients.conf на ВТОРОМ, но авторизация не проходит, если учетная запись на ВТОРОМ сервере.
вот прописал в конфигах следующее
172.22.3.151 Основной radius-сервер
172.22.3.158 Дополнительный radius-сервер
#В Файле proxy.conf на 172.22.3.151 записал следующее
realm NULL {
        type            = radius
        authhost        = 172.22.3.158:1812
        accthost        = 172.22.3.158:1813
        secret          = radiushub
}

#В Файле clients.conf на 172.22.3.158 добавил следующее
client 172.22.3.151 {
        secret          = radiushub
        shortname       = radiushub
}

Где, мне нужно что-то еще прописать нужно?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Настройка двух RADIUS-серверов" +/–

Сообщение от Alex (??) on 25-Май-06, 17:41

Попробуйте использовать group server radius. Например,
aaa group server radius group1
server 1.1.1.1 auth-port 1645 acct-port 1646
server 2.2.2.2 auth-port 1645 acct-port 1646
aaa accounting connection h323 start-stop group group1
или одновременно, accounting
aaa group server radius group1
server 1.1.1.1 auth-port 1645 acct-port 1646
aaa group server radius group2
server 2.2.2.2 auth-port 1645 acct-port 1646
aaa accounting connection h323 start-stop broadcast group group1 group group2

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Настройка двух RADIUS-серверов" +/–

Сообщение от vistarus (??) on 25-Май-06, 17:55

>Попробуйте использовать group server radius. Например,
>
>aaa group server radius group1
> server 1.1.1.1 auth-port 1645 acct-port 1646
> server 2.2.2.2 auth-port 1645 acct-port 1646
>
>aaa accounting connection h323 start-stop group group1
>
>или одновременно, accounting
>
>aaa group server radius group1
> server 1.1.1.1 auth-port 1645 acct-port 1646
>aaa group server radius group2
> server 2.2.2.2 auth-port 1645 acct-port 1646
>aaa accounting connection h323 start-stop broadcast group group1 group group2
Попробую, а proxy.conf не нужен или в паре это?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Настройка двух RADIUS-серверов" +/–

Сообщение от vistarus (??) on 26-Май-06, 06:10

>Попробуйте использовать group server radius. Например,
>
>aaa group server radius group1
> server 1.1.1.1 auth-port 1645 acct-port 1646
> server 2.2.2.2 auth-port 1645 acct-port 1646
>
>aaa accounting connection h323 start-stop group group1
>
>или одновременно, accounting
>
>aaa group server radius group1
> server 1.1.1.1 auth-port 1645 acct-port 1646
>aaa group server radius group2
> server 2.2.2.2 auth-port 1645 acct-port 1646
>aaa accounting connection h323 start-stop broadcast group group1 group group2

Добрый день, попробовал оба способа,
но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере,
если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит.
|
|
# первый сервер
aaa group server radius freeradius
server 172.22.3.151 auth-port 1812 acct-port 1813
!
# второй сервер
aaa group server radius freeradius_1
server 172.22.3.158 auth-port 1812 acct-port 1813
|
|

если поменять местами
|
aaa authentication ppp method1 group freeradius group freeradius_1
|
radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15
radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15
|
на
|
aaa authentication ppp method1 group freeradius_1 group freeradius
|
radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15
radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15
тогда авторизация "Учетной записи" ВТОРОГО сервера проходит, а вот "Учетная запись" ПЕРВОГО сервера не проходит авторизацию
После некоторый манипуляция, я пришел к выводу, что моя cisco не может делать авторизацию на двух RADIUS-серверах.
а пакеты accounting получают оба сервера.

Вот конфиг cisco AS5300
5300#sh runn
Building configuration...
Current configuration : 3053 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
no service dhcp
!
hostname 5300
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 $1$EXAD$w/PXGfFqqIXO8O5cCaeL2/
enable password testkey
!
spe 1/0 2/9
firmware location mica-modem-pw.2.9.2.0.bin
!
!
resource-pool disable
!
modem-pool Pool1
pool-range 1-30
called-number 541531 max-conn 30
!
aaa new-model
!
!
aaa group server radius freeradius
server 172.22.3.151 auth-port 1812 acct-port 1813
!
aaa group server radius freeradius_1
server 172.22.3.158 auth-port 1812 acct-port 1813
!
aaa authentication ppp method1 group freeradius group freeradius_1
aaa accounting update periodic 1
aaa accounting network method1 start-stop broadcast group freeradius group freeradius_1
aaa accounting connection method1 start-stop broadcast group freeradius group freeradius_1
aaa session-id common
ip subnet-zero
ip name-server x.x.x.150
!
!
isdn switch-type primary-net5
!
!
!
!
!
!
!
!
!
!
username cisco password 0 ciscopassword
!
!
controller E1 0
framing NO-CRC4
clock source line primary
pri-group timeslots 1-31
!
controller E1 1
shutdown
clock source line secondary 1
!
controller E1 2
shutdown
clock source line secondary 2
!
controller E1 3
shutdown
clock source line secondary 3
!
controller E1 4
shutdown
clock source line secondary 4
!
controller E1 5
shutdown
clock source line secondary 5
!
controller E1 6
shutdown
clock source line secondary 6
!
controller E1 7
shutdown
clock source line secondary 7
!
!
interface Ethernet0
ip address 172.22.3.152 255.255.255.224
!
interface Serial0
no ip address
shutdown
clock rate 2015232
no fair-queue
!
interface Serial1
no ip address
shutdown
clock rate 2015232
no fair-queue
!
interface Serial2
no ip address
shutdown
clock rate 2015232
no fair-queue
!
interface Serial3
no ip address
shutdown
clock rate 2015232
no fair-queue
!
interface Serial0:15
no ip address
isdn switch-type primary-net5
isdn incoming-voice modem
no cdp enable
!
interface FastEthernet0
ip address x.x.x.x 255.255.255.x
duplex auto
speed auto
no cdp enable
!
interface Group-Async1
ip unnumbered FastEthernet0
encapsulation ppp
async mode interactive
peer default ip address pool dialup
ppp authentication chap ms-chap method1
ppp authorization method1
ppp accounting method1
group-range 1 30
!
ip local pool dialup x.x.x.32 x.x.x.63
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.17
ip route 172.22.0.0 255.255.0.0 172.22.2.2
no ip http server
!
!
ip radius source-interface Ethernet0
dialer-list 1 protocol ip permit
!
!
radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15
radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15
!
!
!
!
line con 0
logging synchronous
line 1 30
modem InOut
modem autoconfigure type mica
transport input all
autoselect ppp
line 31 240
line aux 0
line vty 0 4
password testkey
!
scheduler interval 1000
end

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Настройка двух RADIUS-серверов" +/–

Сообщение от dm (??) on 30-Июн-06, 09:09

>>Попробуйте использовать group server radius. Например,
>>
>>aaa group server radius group1
>> server 1.1.1.1 auth-port 1645 acct-port 1646
>> server 2.2.2.2 auth-port 1645 acct-port 1646
>>
>>aaa accounting connection h323 start-stop group group1
>>
>>или одновременно, accounting
>>
>>aaa group server radius group1
>> server 1.1.1.1 auth-port 1645 acct-port 1646
>>aaa group server radius group2
>> server 2.2.2.2 auth-port 1645 acct-port 1646
>>aaa accounting connection h323 start-stop broadcast group group1 group group2
>
>
>Добрый день, попробовал оба способа,
>
>но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере,
>
>если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит.
>
>|
>|
># первый сервер
>aaa group server radius freeradius
> server 172.22.3.151 auth-port 1812 acct-port 1813
>!
># второй сервер
>aaa group server radius freeradius_1
> server 172.22.3.158 auth-port 1812 acct-port 1813
>|
>|
>
>
>если поменять местами
>|
>aaa authentication ppp method1 group freeradius group freeradius_1
>|
>radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>test15
>radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>testing15
>|
>
>на
>|
>aaa authentication ppp method1 group freeradius_1 group freeradius
>|
>radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>testing15
>radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>test15
>
>тогда авторизация "Учетной записи" ВТОРОГО сервера проходит, а вот "Учетная запись" ПЕРВОГО
>сервера не проходит авторизацию
>
>После некоторый манипуляция, я пришел к выводу, что моя cisco не может
>делать авторизацию на двух RADIUS-серверах.
>а пакеты accounting получают оба сервера.
>
>
>Вот конфиг cisco AS5300
>
>5300#sh runn
>Building configuration...
>
>Current configuration : 3053 bytes
>!
>version 12.3
>service timestamps debug uptime
>service timestamps log uptime
>no service password-encryption
>no service dhcp
>!
>hostname 5300
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 4096 debugging
>enable secret 5 $1$EXAD$w/PXGfFqqIXO8O5cCaeL2/
>enable password testkey
>!
>spe 1/0 2/9
> firmware location mica-modem-pw.2.9.2.0.bin
>!
>!
>resource-pool disable
>!
>modem-pool Pool1
> pool-range 1-30
> called-number 541531 max-conn 30
>!
>aaa new-model
>!
>!
>aaa group server radius freeradius
> server 172.22.3.151 auth-port 1812 acct-port 1813
>!
>aaa group server radius freeradius_1
> server 172.22.3.158 auth-port 1812 acct-port 1813
>!
>aaa authentication ppp method1 group freeradius group freeradius_1
>aaa accounting update periodic 1
>aaa accounting network method1 start-stop broadcast group freeradius group freeradius_1
>aaa accounting connection method1 start-stop broadcast group freeradius group freeradius_1
>aaa session-id common
>ip subnet-zero
>ip name-server x.x.x.150
>!
>!
>isdn switch-type primary-net5
>!
>!
>!
>!
>!
>!
>!
>!
>!
>!
>username cisco password 0 ciscopassword
>!
>!
>controller E1 0
> framing NO-CRC4
> clock source line primary
> pri-group timeslots 1-31
>!
>controller E1 1
> shutdown
> clock source line secondary 1
>!
>controller E1 2
> shutdown
> clock source line secondary 2
>!
>controller E1 3
> shutdown
> clock source line secondary 3
>!
>controller E1 4
> shutdown
> clock source line secondary 4
>!
>controller E1 5
> shutdown
> clock source line secondary 5
>!
>controller E1 6
> shutdown
> clock source line secondary 6
>!
>controller E1 7
> shutdown
> clock source line secondary 7
>!
>!
>interface Ethernet0
> ip address 172.22.3.152 255.255.255.224
>!
>interface Serial0
> no ip address
> shutdown
> clock rate 2015232
> no fair-queue
>!
>interface Serial1
> no ip address
> shutdown
> clock rate 2015232
> no fair-queue
>!
>interface Serial2
> no ip address
> shutdown
> clock rate 2015232
> no fair-queue
>!
>interface Serial3
> no ip address
> shutdown
> clock rate 2015232
> no fair-queue
>!
>interface Serial0:15
> no ip address
> isdn switch-type primary-net5
> isdn incoming-voice modem
> no cdp enable
>!
>interface FastEthernet0
> ip address x.x.x.x 255.255.255.x
> duplex auto
> speed auto
> no cdp enable
>!
>interface Group-Async1
> ip unnumbered FastEthernet0
> encapsulation ppp
> async mode interactive
> peer default ip address pool dialup
> ppp authentication chap ms-chap method1
> ppp authorization method1
> ppp accounting method1
> group-range 1 30
>!
>ip local pool dialup x.x.x.32 x.x.x.63
>ip classless
>ip route 0.0.0.0 0.0.0.0 x.x.x.17
>ip route 172.22.0.0 255.255.0.0 172.22.2.2
>no ip http server
>!
>!
>ip radius source-interface Ethernet0
>dialer-list 1 protocol ip permit
>!
>!
>radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>test15
>radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key
>testing15
>!
>!
>!
>!
>line con 0
> logging synchronous
>line 1 30
> modem InOut
> modem autoconfigure type mica
> transport input all
> autoselect ppp
>line 31 240
>line aux 0
>line vty 0 4
> password testkey
>!
>scheduler interval 1000
>end

Так и должно быть. Циска обратится ко второму серверу, только если первый не доступен. А так получается все честно: циска спросила - ей ответили. У меня так 3 сервера подвязано - и на всех 3 серверах в настройках радиуса указаны одинаковые пользователи. Единственно - когда идет аутентификация, то сервер возвращает на киску свое имя, дабы знать на каком конкретном сервере прошла аутентификация.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Настройка двух RADIUS-серверов" +/–

Сообщение от smooop (ok) on 14-Июл-10, 09:55

доброго всем времени суток! я вот тоже столкнулся с проблемой резервирования Radius-сервера для проверки подлинности пользователей (dot1x). как настроить cisco 2960 на работу с 2-мя RADIUS-серверами аутентификации по dot1x, один постоянный другой резервный на случай выхода из строя основного.
На обоих серверах настроен FreeRadius по 1812-1813 портам для доступа на активное оборудование и виндовый радиус по портам 1645-1646 для аутентификации по dot1x пользователей сети.
Вот часть конфига
aaa new-model
!
!
aaa group server radius RADMIN
server 192.168.17.185 auth-port 1812 acct-port 1813
server 192.168.17.186 auth-port 1812 acct-port 1813
!
aaa group server radius DOT1X
server 192.168.17.185 auth-port 1645 acct-port 1646
server 192.168.17.186 auth-port 1645 acct-port 1646
!
aaa authentication login default group radius local
aaa authentication login ADMINS group RADMIN local
aaa authentication enable default enable
aaa authentication dot1x default group DOT1X
aaa authorization exec default group radius local
aaa authorization exec ADMINS group RADMIN local
aaa authorization network default group radius
aaa accounting send stop-record authentication failure
aaa accounting exec default start-stop group radius
!
.
.
.
radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04
radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156
radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805
radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514
вот с таким конфигом работает полностью как надо FreeRadius,т.е. если основной сервер выходит из строя то cisco автоматом лезет на резервный, а вот пользователи сети отваливаются.
Проверял, если меняю местами радиус сервера то она прекрасно коннектится на резервный, значит сервер резервный по dot1x работает.
Почему автоматически не происходит проверка подлинности (dot1x) через резервный сервер?
Пробовал и вот так
aaa group server radius RADMIN
server 192.168.17.185 auth-port 1812 acct-port 1813
server 192.168.17.186 auth-port 1812 acct-port 1813
!
aaa group server radius DOT1X
server 192.168.17.186 auth-port 1645 acct-port 1646
!
aaa group server radius DOT1X2
server 192.168.17.185 auth-port 1645 acct-port 1646
!
aaa authentication login default group radius local
aaa authentication login ADMINS group RADMIN local
aaa authentication enable default enable
aaa authentication dot1x default group DOT1X group DOT1X2
aaa authorization exec default group radius local
aaa authorization exec ADMINS group RADMIN local
aaa authorization network default group DOT1X group DOT1X2
aaa accounting update periodic 1
aaa accounting network default start-stop broadcast group DOT1X group DOT1X2
.
.
radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04
radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156
radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805
radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка двух RADIUS-серверов"	+/–
Сообщение от alchie (ok) on 24-Май-06, 12:02
>Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов > >1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами >2) Настроить proxy.conf одного из RADIUS-сервера в случае, если у тебя падает этот самый проксирующий радиус, то ты имеешь облом даже в случае если у тебя второй радиус жив. первый вариант имхо предпочтителен
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от vistarus (ok) on 25-Май-06, 03:07
	>>Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов >> >>1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами >>2) Настроить proxy.conf одного из RADIUS-сервера > > >в случае, если у тебя падает этот самый проксирующий радиус, то ты >имеешь облом даже в случае если у тебя второй радиус жив. > >первый вариант имхо предпочтителен Спасибо, но еще один вопрос, я наткнулся на следующий камень, вот здесь http://www.opennet.me/openforum/vsluhforumID6/579.html сказано, что cisco не умеет работать с двумя RADIUS-серверами. у меня AS 5300, эта cisco тоже не умеет?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от scamp (??) on 25-Май-06, 09:18
	не в курсе, умеет ли твоя это делать, но если не умеет, то ответ напрашивается сам собой: 1. настраиваешь proxy.conf 2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf), то кошка обратится ко второму радиусу.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от vistarus (??) on 25-Май-06, 09:35
	>не в курсе, умеет ли твоя это делать, но если не умеет, >то ответ напрашивается сам собой: >1. настраиваешь proxy.conf >2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf), >то кошка обратится ко второму радиусу. Я не спец в cisco, след-но не знаю, может ли она работать с двумя RADIUS-серверами во вторых, второй RADIUS-сервер не резервный, а дополнительный, то есть они (RADIUS-серверы) имеют каждый свою биллиноговую систему, точнее учет. Мне нужна такая последовательность действий, cisco запрашивает авторизацию на ПЕРВОМ, если не удачно, то перейти на ВТОРОЙ. настраиваю proxy.conf на ПЕРВОМ, и clients.conf на ВТОРОМ, но авторизация не проходит, если учетная запись на ВТОРОМ сервере. вот прописал в конфигах следующее 172.22.3.151 Основной radius-сервер 172.22.3.158 Дополнительный radius-сервер #В Файле proxy.conf на 172.22.3.151 записал следующее realm NULL { type = radius authhost = 172.22.3.158:1812 accthost = 172.22.3.158:1813 secret = radiushub } #В Файле clients.conf на 172.22.3.158 добавил следующее client 172.22.3.151 { secret = radiushub shortname = radiushub } Где, мне нужно что-то еще прописать нужно?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от Alex (??) on 25-Май-06, 17:41
	Попробуйте использовать group server radius. Например, aaa group server radius group1 server 1.1.1.1 auth-port 1645 acct-port 1646 server 2.2.2.2 auth-port 1645 acct-port 1646 aaa accounting connection h323 start-stop group group1 или одновременно, accounting aaa group server radius group1 server 1.1.1.1 auth-port 1645 acct-port 1646 aaa group server radius group2 server 2.2.2.2 auth-port 1645 acct-port 1646 aaa accounting connection h323 start-stop broadcast group group1 group group2
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от vistarus (??) on 25-Май-06, 17:55
	>Попробуйте использовать group server radius. Например, > >aaa group server radius group1 > server 1.1.1.1 auth-port 1645 acct-port 1646 > server 2.2.2.2 auth-port 1645 acct-port 1646 > >aaa accounting connection h323 start-stop group group1 > >или одновременно, accounting > >aaa group server radius group1 > server 1.1.1.1 auth-port 1645 acct-port 1646 >aaa group server radius group2 > server 2.2.2.2 auth-port 1645 acct-port 1646 >aaa accounting connection h323 start-stop broadcast group group1 group group2 Попробую, а proxy.conf не нужен или в паре это?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от vistarus (??) on 26-Май-06, 06:10
	>Попробуйте использовать group server radius. Например, > >aaa group server radius group1 > server 1.1.1.1 auth-port 1645 acct-port 1646 > server 2.2.2.2 auth-port 1645 acct-port 1646 > >aaa accounting connection h323 start-stop group group1 > >или одновременно, accounting > >aaa group server radius group1 > server 1.1.1.1 auth-port 1645 acct-port 1646 >aaa group server radius group2 > server 2.2.2.2 auth-port 1645 acct-port 1646 >aaa accounting connection h323 start-stop broadcast group group1 group group2 Добрый день, попробовал оба способа, но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере, если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит. \| \| # первый сервер aaa group server radius freeradius server 172.22.3.151 auth-port 1812 acct-port 1813 ! # второй сервер aaa group server radius freeradius_1 server 172.22.3.158 auth-port 1812 acct-port 1813 \| \| если поменять местами \| aaa authentication ppp method1 group freeradius group freeradius_1 \| radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15 radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15 \| на \| aaa authentication ppp method1 group freeradius_1 group freeradius \| radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15 radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15 тогда авторизация "Учетной записи" ВТОРОГО сервера проходит, а вот "Учетная запись" ПЕРВОГО сервера не проходит авторизацию После некоторый манипуляция, я пришел к выводу, что моя cisco не может делать авторизацию на двух RADIUS-серверах. а пакеты accounting получают оба сервера. Вот конфиг cisco AS5300 5300#sh runn Building configuration... Current configuration : 3053 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption no service dhcp ! hostname 5300 ! boot-start-marker boot-end-marker ! logging buffered 4096 debugging enable secret 5 $1$EXAD$w/PXGfFqqIXO8O5cCaeL2/ enable password testkey ! spe 1/0 2/9 firmware location mica-modem-pw.2.9.2.0.bin ! ! resource-pool disable ! modem-pool Pool1 pool-range 1-30 called-number 541531 max-conn 30 ! aaa new-model ! ! aaa group server radius freeradius server 172.22.3.151 auth-port 1812 acct-port 1813 ! aaa group server radius freeradius_1 server 172.22.3.158 auth-port 1812 acct-port 1813 ! aaa authentication ppp method1 group freeradius group freeradius_1 aaa accounting update periodic 1 aaa accounting network method1 start-stop broadcast group freeradius group freeradius_1 aaa accounting connection method1 start-stop broadcast group freeradius group freeradius_1 aaa session-id common ip subnet-zero ip name-server x.x.x.150 ! ! isdn switch-type primary-net5 ! ! ! ! ! ! ! ! ! ! username cisco password 0 ciscopassword ! ! controller E1 0 framing NO-CRC4 clock source line primary pri-group timeslots 1-31 ! controller E1 1 shutdown clock source line secondary 1 ! controller E1 2 shutdown clock source line secondary 2 ! controller E1 3 shutdown clock source line secondary 3 ! controller E1 4 shutdown clock source line secondary 4 ! controller E1 5 shutdown clock source line secondary 5 ! controller E1 6 shutdown clock source line secondary 6 ! controller E1 7 shutdown clock source line secondary 7 ! ! interface Ethernet0 ip address 172.22.3.152 255.255.255.224 ! interface Serial0 no ip address shutdown clock rate 2015232 no fair-queue ! interface Serial1 no ip address shutdown clock rate 2015232 no fair-queue ! interface Serial2 no ip address shutdown clock rate 2015232 no fair-queue ! interface Serial3 no ip address shutdown clock rate 2015232 no fair-queue ! interface Serial0:15 no ip address isdn switch-type primary-net5 isdn incoming-voice modem no cdp enable ! interface FastEthernet0 ip address x.x.x.x 255.255.255.x duplex auto speed auto no cdp enable ! interface Group-Async1 ip unnumbered FastEthernet0 encapsulation ppp async mode interactive peer default ip address pool dialup ppp authentication chap ms-chap method1 ppp authorization method1 ppp accounting method1 group-range 1 30 ! ip local pool dialup x.x.x.32 x.x.x.63 ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.17 ip route 172.22.0.0 255.255.0.0 172.22.2.2 no ip http server ! ! ip radius source-interface Ethernet0 dialer-list 1 protocol ip permit ! ! radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key test15 radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key testing15 ! ! ! ! line con 0 logging synchronous line 1 30 modem InOut modem autoconfigure type mica transport input all autoselect ppp line 31 240 line aux 0 line vty 0 4 password testkey ! scheduler interval 1000 end
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от dm (??) on 30-Июн-06, 09:09
	>>Попробуйте использовать group server radius. Например, >> >>aaa group server radius group1 >> server 1.1.1.1 auth-port 1645 acct-port 1646 >> server 2.2.2.2 auth-port 1645 acct-port 1646 >> >>aaa accounting connection h323 start-stop group group1 >> >>или одновременно, accounting >> >>aaa group server radius group1 >> server 1.1.1.1 auth-port 1645 acct-port 1646 >>aaa group server radius group2 >> server 2.2.2.2 auth-port 1645 acct-port 1646 >>aaa accounting connection h323 start-stop broadcast group group1 group group2 > > >Добрый день, попробовал оба способа, > >но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере, > >если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит. > >\| >\| ># первый сервер >aaa group server radius freeradius > server 172.22.3.151 auth-port 1812 acct-port 1813 >! ># второй сервер >aaa group server radius freeradius_1 > server 172.22.3.158 auth-port 1812 acct-port 1813 >\| >\| > > >если поменять местами >\| >aaa authentication ppp method1 group freeradius group freeradius_1 >\| >radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >test15 >radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >testing15 >\| > >на >\| >aaa authentication ppp method1 group freeradius_1 group freeradius >\| >radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >testing15 >radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >test15 > >тогда авторизация "Учетной записи" ВТОРОГО сервера проходит, а вот "Учетная запись" ПЕРВОГО >сервера не проходит авторизацию > >После некоторый манипуляция, я пришел к выводу, что моя cisco не может >делать авторизацию на двух RADIUS-серверах. >а пакеты accounting получают оба сервера. > > >Вот конфиг cisco AS5300 > >5300#sh runn >Building configuration... > >Current configuration : 3053 bytes >! >version 12.3 >service timestamps debug uptime >service timestamps log uptime >no service password-encryption >no service dhcp >! >hostname 5300 >! >boot-start-marker >boot-end-marker >! >logging buffered 4096 debugging >enable secret 5 $1$EXAD$w/PXGfFqqIXO8O5cCaeL2/ >enable password testkey >! >spe 1/0 2/9 > firmware location mica-modem-pw.2.9.2.0.bin >! >! >resource-pool disable >! >modem-pool Pool1 > pool-range 1-30 > called-number 541531 max-conn 30 >! >aaa new-model >! >! >aaa group server radius freeradius > server 172.22.3.151 auth-port 1812 acct-port 1813 >! >aaa group server radius freeradius_1 > server 172.22.3.158 auth-port 1812 acct-port 1813 >! >aaa authentication ppp method1 group freeradius group freeradius_1 >aaa accounting update periodic 1 >aaa accounting network method1 start-stop broadcast group freeradius group freeradius_1 >aaa accounting connection method1 start-stop broadcast group freeradius group freeradius_1 >aaa session-id common >ip subnet-zero >ip name-server x.x.x.150 >! >! >isdn switch-type primary-net5 >! >! >! >! >! >! >! >! >! >! >username cisco password 0 ciscopassword >! >! >controller E1 0 > framing NO-CRC4 > clock source line primary > pri-group timeslots 1-31 >! >controller E1 1 > shutdown > clock source line secondary 1 >! >controller E1 2 > shutdown > clock source line secondary 2 >! >controller E1 3 > shutdown > clock source line secondary 3 >! >controller E1 4 > shutdown > clock source line secondary 4 >! >controller E1 5 > shutdown > clock source line secondary 5 >! >controller E1 6 > shutdown > clock source line secondary 6 >! >controller E1 7 > shutdown > clock source line secondary 7 >! >! >interface Ethernet0 > ip address 172.22.3.152 255.255.255.224 >! >interface Serial0 > no ip address > shutdown > clock rate 2015232 > no fair-queue >! >interface Serial1 > no ip address > shutdown > clock rate 2015232 > no fair-queue >! >interface Serial2 > no ip address > shutdown > clock rate 2015232 > no fair-queue >! >interface Serial3 > no ip address > shutdown > clock rate 2015232 > no fair-queue >! >interface Serial0:15 > no ip address > isdn switch-type primary-net5 > isdn incoming-voice modem > no cdp enable >! >interface FastEthernet0 > ip address x.x.x.x 255.255.255.x > duplex auto > speed auto > no cdp enable >! >interface Group-Async1 > ip unnumbered FastEthernet0 > encapsulation ppp > async mode interactive > peer default ip address pool dialup > ppp authentication chap ms-chap method1 > ppp authorization method1 > ppp accounting method1 > group-range 1 30 >! >ip local pool dialup x.x.x.32 x.x.x.63 >ip classless >ip route 0.0.0.0 0.0.0.0 x.x.x.17 >ip route 172.22.0.0 255.255.0.0 172.22.2.2 >no ip http server >! >! >ip radius source-interface Ethernet0 >dialer-list 1 protocol ip permit >! >! >radius-server host 172.22.3.151 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >test15 >radius-server host 172.22.3.158 auth-port 1812 acct-port 1813 timeout 3 retransmit 10 key >testing15 >! >! >! >! >line con 0 > logging synchronous >line 1 30 > modem InOut > modem autoconfigure type mica > transport input all > autoselect ppp >line 31 240 >line aux 0 >line vty 0 4 > password testkey >! >scheduler interval 1000 >end Так и должно быть. Циска обратится ко второму серверу, только если первый не доступен. А так получается все честно: циска спросила - ей ответили. У меня так 3 сервера подвязано - и на всех 3 серверах в настройках радиуса указаны одинаковые пользователи. Единственно - когда идет аутентификация, то сервер возвращает на киску свое имя, дабы знать на каком конкретном сервере прошла аутентификация.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Настройка двух RADIUS-серверов"	+/–
	Сообщение от smooop (ok) on 14-Июл-10, 09:55
	доброго всем времени суток! я вот тоже столкнулся с проблемой резервирования Radius-сервера для проверки подлинности пользователей (dot1x). как настроить cisco 2960 на работу с 2-мя RADIUS-серверами аутентификации по dot1x, один постоянный другой резервный на случай выхода из строя основного. На обоих серверах настроен FreeRadius по 1812-1813 портам для доступа на активное оборудование и виндовый радиус по портам 1645-1646 для аутентификации по dot1x пользователей сети. Вот часть конфига aaa new-model ! ! aaa group server radius RADMIN server 192.168.17.185 auth-port 1812 acct-port 1813 server 192.168.17.186 auth-port 1812 acct-port 1813 ! aaa group server radius DOT1X server 192.168.17.185 auth-port 1645 acct-port 1646 server 192.168.17.186 auth-port 1645 acct-port 1646 ! aaa authentication login default group radius local aaa authentication login ADMINS group RADMIN local aaa authentication enable default enable aaa authentication dot1x default group DOT1X aaa authorization exec default group radius local aaa authorization exec ADMINS group RADMIN local aaa authorization network default group radius aaa accounting send stop-record authentication failure aaa accounting exec default start-stop group radius ! . . . radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04 radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156 radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805 radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514 вот с таким конфигом работает полностью как надо FreeRadius,т.е. если основной сервер выходит из строя то cisco автоматом лезет на резервный, а вот пользователи сети отваливаются. Проверял, если меняю местами радиус сервера то она прекрасно коннектится на резервный, значит сервер резервный по dot1x работает. Почему автоматически не происходит проверка подлинности (dot1x) через резервный сервер? Пробовал и вот так aaa group server radius RADMIN server 192.168.17.185 auth-port 1812 acct-port 1813 server 192.168.17.186 auth-port 1812 acct-port 1813 ! aaa group server radius DOT1X server 192.168.17.186 auth-port 1645 acct-port 1646 ! aaa group server radius DOT1X2 server 192.168.17.185 auth-port 1645 acct-port 1646 ! aaa authentication login default group radius local aaa authentication login ADMINS group RADMIN local aaa authentication enable default enable aaa authentication dot1x default group DOT1X group DOT1X2 aaa authorization exec default group radius local aaa authorization exec ADMINS group RADMIN local aaa authorization network default group DOT1X group DOT1X2 aaa accounting update periodic 1 aaa accounting network default start-stop broadcast group DOT1X group DOT1X2 . . radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04 radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156 radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805 radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору