为我的networking设备实现Radius有很多问题:
如何安全地实现aaa Radiusauthentication,以确保用户login使用本地数据库,以防止Radius失败。
如何为less数用户提供只读访问权限,并完全访问pipe理员。
如果我保存configuration的话Incase将会有可能login到设备(假设radius和Local凭证都不起作用)。
如何恢复设备,特别是防火墙的密码。
如何安全地实现aaa Radiusauthentication,以确保用户login使用本地数据库,以防止Radius失败。
听起来你已经走上了正轨。 您希望在local身份validation命令中使用回退机制。 在authentication服务器的configuration中设置一个低限度的超时时间(我倾向于持续2到3秒),以确保您不会永远在等待回退。
对于IOS路由器,看起来像这样:
aaa authentication login default group radius local
对于ASA防火墙:
aaa authentication http console radius-server-group-name LOCAL aaa authentication ssh console radius-server-group-name LOCAL
这将导致身份validation发生在RADIUS服务器没有响应的情况下。 如果需要,您可以考虑的其他措施是无条件地在设备的串行控制台上使用本地身份validation:
IOS:
aaa authentication login consoleport local line con 0 login authentication consoleport
作为一个:
aaa authentication enable console LOCAL aaa authentication serial console LOCAL
但不要听我的话。 把你的configuration搞清楚,然后在每种types的设备上testing一下 。 将其与networking断开,与RADIUS服务器混淆,导致您可以想象的各种有趣的故障,并确保您仍然可以进入设备。
如何为less数用户提供只读访问权限,并完全访问pipe理员。
让RADIUS服务器处理授权。
IOS:
aaa authorization exec default group radius if-authenticated
作为一个:
aaa authorization exec authentication-server
将只读用户设置为特权级别1,同时将pipe理员设置为15.请参阅此处了解如何在RADIUS服务器中对其进行configuration。 或者,如果要使用TACACS +而不是RADIUS,则可以分配每个用户能够以细粒度方式运行的命令(例如,如果需要访问非常有限的一组pipe理命令)。
如果我保存configuration的话Incase将会有可能login到设备(假设radius和Local凭证都不起作用)。
如果没有凭据工作,那么你需要继续重置密码。
如何恢复设备,特别是防火墙的密码。
这两种设备types的过程非常相似,包括引导设备而不让系统加载保存的configuration。 请参阅这里的ASA和IOS路由器 。