Аутентификация на Cisco используя RADIUS сервер на Linux

  Есть у меня небольшая проблема, постоянно забываю свои логины-пароли. Всего так много, почта, логин на нескольких форумах, на рабочем ПК, на домашнем ноутбуке, на всяких железках, ПИН сим-карты, и т.д. Дабы как-то облегчить жизнь бедолагам вроде меня, добрые люди придумали сервер где могут хранится логины-пароли. Смысл такой: вы вводите логин-пароль на железке, железка авторизируется на севере, проверяет ваши данные, если они совпадают, то все чудесно. Таким образом, заведя одну запись на одном сервере, можно ее использовать на целом ряде устройств. Наибольшее распространение получили сервера RADUIS и TACACS+. Предлагаю установить это счастье на Debian Linux, настроить и связать с Cisco. Использовать будем RADIUS.

1. Установка. Пакет называется freeraduis

root@darkstar:~# apt-get install freeradius

тут будет длинный вывод, генерация ключа Диффи-Хелмана (не передвавать же пароли в открытом виде)

2. Настройка. Настроек великое множество и сосредоточены они в папке /etc/freeradius. Не будем сильно углубляться, а преступим к делу, отредактируем файл /etc/freeradius/clients.conf. В нем находятся данные для регистрации клиентов, которые будут соединяться и проверять данные авторизации. Добавляем параметры для нашего коммутатора

client 192.168.10.30 {

secret = cisco

}

Вместо адреса можно использовать доменное имя, далее введен пароль cisco для регистрации клиента с указанным адресом.

3. Настраиваем базу пользователей. Редактируем файл /etc/freeradius/users, там добавляем строки.

andrey Cleartext-Password := "$ecret"

Reply-Message = "Hello, andrey"

В этом случае моего пользователя andrey будет определять пароль $ecret, при этом клиенту будет передан параметр сообщения Reply-Message, оно будет отображаться при логине. Вообще, можно много разных параметров передавать, например:

“John Smith” Cleartext-Password := "callme"

Service-Type = Callback-Login-User,

Login-IP-Host = timeshare1,

Login-Service = PortMaster,

Callback-Number = "9,1-800-555-1212"

Этот файл достаточно хорошо документирован, так что рекомендую почитать перед сном.

4. Не забываем перезапустить сервер для примения настроек

root@darkstar:~# /etc/init.d/freeradius restart
[ ok ] Stopping FreeRADIUS daemon: freeradius.
[ ok ] Starting FreeRADIUS daemon: freeradius. User Access Verification
root@darkstar:~# 

5. Теперь нужно настроить клиента. Клиентом у нас будет коммутатор Cisco.

5.1. Включаем метод авторизации с поддержкой кучи разных фич

Catalyst(config)#aaa new-model

5.2. Определяем адрес сервера и ключ (тот пароль который мы задавали в файле /etc/freeradius/clients.conf)

Catalyst(config)#radius-server host 192.168.10.1 key cisco

5.3. Добавляем аутентификацию пользователя через radius сервер

Catalyst(config)#aaa authentication login default group radius

На этом настройка завершена. Подключаемся к нашему коммутатору

Username: andrey

Password:

Hello, andrey

Catalyst>

А вот и сообщение, которое указано у нас в настройках пользователя.

Послесловие.

Настроить через radius можно не только логин. Да и тема это достаточно обширная, целые книги издаются.

Catalyst(config)#aaa authentication ?

arap Set authentication lists for arap.

banner Message to use when starting login/authentication.

dot1x Set authentication lists for IEEE 802.1x.

enable Set authentication list for enable.

fail-message Message to use for failed login/authentication.

login Set authentication lists for logins.

nasi Set authentication lists for NASI.

password-prompt Text to use when prompting for a password

ppp Set authentication lists for ppp.

username-prompt Text to use when prompting for a username

Catalyst(config)#