按照我对思科设备的设置,我得到了一些基本级别的function,用于login到RADIUS服务器validation的3Com交换机。 问题是我无法让用户获得pipe理员权限。 我正在使用微软的IAS服务。 根据3Com的文档,在IAS上configuration访问策略时,必须使用010600000003的值来指定pipe理员访问级别。 该值必须在拨入configuration文件部分input:
010600000003 - 表示pipe理员权限 010600000002 - 经理 010600000001 - 监视器 010600000000 - 访客
以下是交换机上的configuration:
半径scheme系统 服务器types的标准 主authenticationXXX.XXX.XXX.XXX 会计可选 密钥authenticationXXXXXX 关键会计XXXXXX # 域系统 scheme半径scheme系统 # 本地用户pipe理员 服务types的SSH远程loginterminal 3级 本地用户pipe理器 服务types的SSH远程loginterminal 2级 本地用户监视器 服务types的SSH远程loginterminal 1级
该configuration与IAS服务器协同工作,因为我可以使用Eventviewer工具来检查用户login事件。
以下是交换机上DISPLAY RADIUS命令的输出:
[4500]视野半径 -------------------------------------------------- ---------------- SchemeName = system Index = 0 Type = standard 主要身份validationIP = XXX.XXX.XXX.XXX端口= 1645状态=活动 Primary Acct IP = 127.0.0.1 Port = 1646 State = active 第二authenticationIP = 0.0.0.0端口= 1812状态=块 Second Acct IP = 0.0.0.0 Port = 1813 State = block 身份validation服务器encryption密钥= XXXXXX Acct服务器encryption密钥= XXXXXX 会计方法=可选 TimeOutValue(秒)= 3 RetryTimes = 3 RealtimeACCT(以分钟计)= 12 允许发送实时PKT失败计数= 5 重试noresponse acct-stop-PKT = 500的发送次数 安静区间(分钟)= 5 用户名格式=无域 数据stream单位=字节 数据包单元= 1 -------------------------------------------------- ---------------- 共计1个RADIUSscheme。 1列出
这是用户login交换机后DISPLAY DOMAIN和DISPLAY CONNECTION命令的输出:
[4500]显示域
0域=系统
状态=有效
RADIUSscheme=系统
访问限制=禁用
域用户模板:
怠速切断=禁用
自助服务=禁用
Messenger Time =禁用
默认域名:系统
总计1个域(s).1列出。
[4500]显示连接
索引= 0,用户名= admin @ system
IP = 0.0.0.0
索引= 2,用户名= user @ system
IP = xxx.xxx.xxx.xxx
在单元1上:共有2个连接匹配,2个列出。
共有2个连接匹配,2个上市。
[4500]
这里是DISP RADIUS统计信息:
[4500] %Apr 2 00:23:39:957 2000 4500 SHELL / 5 / LOGIN: - 1 - ecajigas(xxx.xxx.xxx.xxx)in un it1 logindisp radius stat 状态统计(总数= 1048): DEAD = 1046 AuthProc = 0 AuthSucc = 0 AcctStart = 0 RLTSend = 0 RLTWait = 2 AcctStop = 0 OnLine = 2 Stop = 0 StateErr = 0 收到和发送的数据包统计信息: 单元1........................................ 发送PKT总数:4次收到PKT总数:1 重新发送时间重新发送总数 1 1 2 1 总计2 RADIUS接收数据包统计信息: 代码= 2,Num = 1,Err = 0 代码= 3,Num = 0,Err = 0 代码= 5,Num = 0,Err = 0 代码= 11,数字= 0,错误= 0 运行统计: RADIUS收到的消息统计: 正常authentication请求,Num = 1,Err = 0,Succ = 1 EAPauthentication请求,Num = 0,Err = 0,Succ = 0 帐户请求,Num = 1,Err = 0,Succ = 1 帐号closures请求,Num = 0,Err = 0,Succ = 0 PKTauthentication超时,Num = 0,Err = 0,Succ = 0 PKT acct_timeout,Num = 3,Err = 1,Succ = 2 实时账户计时器,Num = 0,Err = 0,Succ = 0 PKT响应,Num = 1,Err = 0,Succ = 1 EAP reauth_request,Num = 0,Err = 0,Succ = 0 PORTAL访问,Num = 0,Err = 0,Succ = 0 更新ack,Num = 0,Err = 0,Succ = 0 PORTAL访问ack,Num = 0,Err = 0,Succ = 0 会话ctrl pkt,Num = 0,Err = 0,Succ = 0 RADIUS发送的消息统计: validation接受,Num = 0 validation拒绝,Num = 0 EAPauthentication答复,Num = 0 帐号成功,Num = 0 帐号失败,Num = 0 削减req,Num = 0 RecError_MSG_sum:0 SndMSG_Fail_sum:0 Timer_Err:0 Alloc_Mem_Err:0 状态不匹配:0 Other_Error:0 No-response-acct-stop packet = 0 丢弃缓冲区溢出的无响应acct停止数据包= 0
另一个问题是,当RADIUS服务器不可用时,我无法login到交换机。 交换机有3个本地帐户,但都没有工作。 在RADIUS服务不可用的情况下,如何指定交换机使用本地帐户?
我们可以使用SSH和RADIUS身份validationlogin到3com的45和55,但是使用IAS设置有点痛苦。
带有本地故障转移的RADIUSauthentication
这是在SW5500上工作的configuration。
sysname 5500-SI # password-control length 4 password-control history 2 password-control login-attempt 3 exceed lock-time 120 # super password level 3 simple password # local-server nas-ip 127.0.0.1 key 3com # domain default enable 3comdevicelogin # dot1x dot1x timer tx-period 10 dot1x timer handshake-period 1024 dot1x authentication-method eap # radius scheme system # radius scheme 3comapsc server-type standard primary authentication 152.67.101.23 accounting optional key authentication radius user-name-format without-domain nas-ip 152.67.101.54 # radius scheme 3ComDeviceLogin server-type extended primary authentication 152.67.101.39 accounting optional key authentication radius user-name-format without-domain nas-ip 152.67.101.54 # domain 3comdevicelogin scheme radius-scheme 3ComDeviceLogin local domain apsc scheme radius-scheme 3comapsc domain system # local-user admin service-type ssh telnet terminal level 3 password-control aging 90 local-user manager service-type ssh telnet terminal level 2 local-user monitor service-type ssh telnet terminal level 1 #