forum.opennet.ru - "Атрибут vendor-specific на FreeRaduis" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Атрибут vendor-specific на FreeRaduis"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Атрибут vendor-specific на FreeRaduis"
Сообщение от Hetene on 24-Сен-03, 15:52 (MSK)
Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров) Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1" Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд". Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания". Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело стоит на месте. Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific. Может быть, и можно. У меня, во всяком случае, не получается. Может быть, какие-то особенности прописывания данного типа авторизации на Циске? У меня стоит aaa authorization exec default group radius local. Какие-либо ещё приписки для авторизации входящих юзеров?? aaa authorization commands? Но там ведь сразу ставится уровень... Народ, требуется помощь. Всем спасибо.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Атрибут vendor-specific на FreeRaduis, Mike, 05:47 , 26-Сен-03, (1)
- Атрибут vendor-specific на FreeRaduis, Hetene, 06:40 , 26-Сен-03, (2)
  - Атрибут vendor-specific на FreeRaduis, Mike, 10:31 , 26-Сен-03, (3)
    - Атрибут vendor-specific на FreeRaduis, Hetene, 11:35 , 26-Сен-03, (4)
      - Атрибут vendor-specific на FreeRaduis, Mike, 11:39 , 26-Сен-03, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Атрибут vendor-specific на FreeRaduis"

Сообщение от Mike on 26-Сен-03, 05:47  (MSK)

>Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров)
> Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1"
>Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд".
>
>Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания".
>
>Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело
>стоит на месте.
> Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific.
>Может быть, и можно. У меня, во всяком случае, не получается.
>
> Может быть, какие-то особенности прописывания данного типа авторизации на Циске?
> У меня стоит aaa authorization exec default group radius local.
>Какие-либо ещё приписки для авторизации входящих юзеров??
> aaa authorization commands? Но там ведь сразу ставится уровень...
>Народ, требуется помощь.
> Всем спасибо.
Будьте добры показать конфиг cisco и радиус (users, naslist)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Атрибут vendor-specific на FreeRaduis"

Сообщение от Hetene on 26-Сен-03, 06:40  (MSK)

Naslist:
# NAS Name Short Name Type
#---------------- ---------- ----
#portmaster1.isp.com pm1.NY livingston
#portmaster2.isp.com pm1.LA livingston
localhost local portslave
192.168.121.254 sisca cisco
Users:
user1   Auth-Type := Local, User-Password == "user1"
Service-Type = Framed-User,
Reply-Message = "Come in, %u"

user2   Auth-Type := Local , User-Password == "user2"
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "shell:priv-lvl=15"
Cisco:
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default enable group radius
aaa authorization exec default group radius none
aaa accounting send stop-record authentication failure
aaa accounting exec default start-stop group radius
aaa accounting commands 0 default start-stop group radius
aaa accounting network default start-stop group radius

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Атрибут vendor-specific на FreeRaduis"

Сообщение от Mike on 26-Сен-03, 10:31  (MSK)

>Cisco:
>aaa new-model
>aaa authentication login default group radius local
>aaa authentication enable default enable group radius
должно быть
aaa authentication enable default group radius enable
>aaa authorization exec default group radius none
>aaa accounting send stop-record authentication failure
>aaa accounting exec default start-stop group radius
>aaa accounting commands 0 default start-stop group radius
>aaa accounting network default start-stop group radius
Кроме того в Радиус нужен пользователь $enabXX$ где XX уровень привилегий
$enab15$ Auth-Type := Local , User-Password == "user2"
         Service-Type = NAS-Prompt-User
Только что проверил на FreeRADIUS Version 0.7
cisco1720#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-BK9NO3R2SY-M), Version 12.2(5), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Tue 11-Sep-01 21:07 by pwade
Image text-base: 0x800080E0, data-base: 0x80CC8EE0

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)

cisco1600 uptime is 3 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c1700-bk9no3r2sy-mz.122-5.bin"

cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory.
Processor board ID JAD05320RB8 (4267571746), with hardware revision 0000
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Атрибут vendor-specific на FreeRaduis"

Сообщение от Hetene on 26-Сен-03, 11:35  (MSK)

Mike, если бы ты знал, как я тебе благодарен!!!!
Где ты нашёл про этот $enab15$  ????
Огромное спасибо!!
Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи в файл), то это будет просто супер. На дебаге циски этот аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
Файл acct_users?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Атрибут vendor-specific на FreeRaduis"

Сообщение от Mike on 26-Сен-03, 11:39  (MSK)

>Mike, если бы ты знал, как я тебе благодарен!!!!
> Где ты нашёл про этот $enab15$  ????
>Огромное спасибо!!
> Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи
>в файл), то это будет просто супер. На дебаге циски этот
>аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
>Файл acct_users?
Про аккаунтинг ничего не скажу - у нас не используется вообще :)
А $enab15$ ищется через дебаг радиуса. (radiusd -X)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атрибут vendor-specific на FreeRaduis"
Сообщение от Mike on 26-Сен-03, 05:47 (MSK)
>Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров) > Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1" >Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд". > >Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания". > >Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело >стоит на месте. > Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific. >Может быть, и можно. У меня, во всяком случае, не получается. > > Может быть, какие-то особенности прописывания данного типа авторизации на Циске? > У меня стоит aaa authorization exec default group radius local. >Какие-либо ещё приписки для авторизации входящих юзеров?? > aaa authorization commands? Но там ведь сразу ставится уровень... >Народ, требуется помощь. > Всем спасибо. Будьте добры показать конфиг cisco и радиус (users, naslist)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Атрибут vendor-specific на FreeRaduis"
	Сообщение от Hetene on 26-Сен-03, 06:40 (MSK)
	Naslist: # NAS Name Short Name Type #---------------- ---------- ---- #portmaster1.isp.com pm1.NY livingston #portmaster2.isp.com pm1.LA livingston localhost local portslave 192.168.121.254 sisca cisco Users: user1 Auth-Type := Local, User-Password == "user1" Service-Type = Framed-User, Reply-Message = "Come in, %u" user2 Auth-Type := Local , User-Password == "user2" Service-Type = NAS-Prompt-User, Cisco-AVPair = "shell:priv-lvl=15" Cisco: aaa new-model aaa authentication login default group radius local aaa authentication enable default enable group radius aaa authorization exec default group radius none aaa accounting send stop-record authentication failure aaa accounting exec default start-stop group radius aaa accounting commands 0 default start-stop group radius aaa accounting network default start-stop group radius
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Атрибут vendor-specific на FreeRaduis"
	Сообщение от Mike on 26-Сен-03, 10:31 (MSK)
	>Cisco: >aaa new-model >aaa authentication login default group radius local >aaa authentication enable default enable group radius должно быть aaa authentication enable default group radius enable >aaa authorization exec default group radius none >aaa accounting send stop-record authentication failure >aaa accounting exec default start-stop group radius >aaa accounting commands 0 default start-stop group radius >aaa accounting network default start-stop group radius Кроме того в Радиус нужен пользователь $enabXX$ где XX уровень привилегий $enab15$ Auth-Type := Local , User-Password == "user2" Service-Type = NAS-Prompt-User Только что проверил на FreeRADIUS Version 0.7 cisco1720#sh ver Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-BK9NO3R2SY-M), Version 12.2(5), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2001 by cisco Systems, Inc. Compiled Tue 11-Sep-01 21:07 by pwade Image text-base: 0x800080E0, data-base: 0x80CC8EE0 ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1) cisco1600 uptime is 3 hours, 16 minutes System returned to ROM by power-on System image file is "flash:c1700-bk9no3r2sy-mz.122-5.bin" cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory. Processor board ID JAD05320RB8 (4267571746), with hardware revision 0000 M860 processor: part number 0, mask 32 Bridging software. X.25 software, Version 3.0.0. 1 FastEthernet/IEEE 802.3 interface(s) 2 Low-speed serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2102
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Атрибут vendor-specific на FreeRaduis"
	Сообщение от Hetene on 26-Сен-03, 11:35 (MSK)
	Mike, если бы ты знал, как я тебе благодарен!!!! Где ты нашёл про этот $enab15$ ???? Огромное спасибо!! Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи в файл), то это будет просто супер. На дебаге циски этот аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется. Файл acct_users?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Атрибут vendor-specific на FreeRaduis"
	Сообщение от Mike on 26-Сен-03, 11:39 (MSK)
	>Mike, если бы ты знал, как я тебе благодарен!!!! > Где ты нашёл про этот $enab15$ ???? >Огромное спасибо!! > Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи >в файл), то это будет просто супер. На дебаге циски этот >аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется. >Файл acct_users? Про аккаунтинг ничего не скажу - у нас не используется вообще :) А $enab15$ ищется через дебаг радиуса. (radiusd -X)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх