Kiselevsp Posted August 9, 2018 · Report post Добрый день, пытаюсь настроить Radius авторизацию на SNR-S2985G-24TC ( SoftWare Version 7.0.3.5(R0241.0186) BootRom Version 7.2.33 HardWare Version 1.0.1),делал по инструкции https://shop.nag.ru/article/snr-switch-aaa-radius Выдержки из конфига: ! username admin privilege 15 password 7 c641ef8b42a241b2401 ! authentication line console login radius local authentication line vty login radius local authentication line web login radius local authorization line vty exec radius local ! ! ! radius source-ipv4 192.168.201.221 ! radius-server authentication host 192.168.5.3 key 0 WTF7d+^1Cr[Z<H primary aaa enable ! ! no login ! При попытке авторизоваться AD- сервер (Win2008) говорит : " Reason:Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect." Т.е. коммутатор присылает вводимый пользователем пароль в некорректном виде. Кто нибудь сталкивался с таким? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kiselevsp Posted August 10, 2018 · Report post Отвечу сам себе: оказалось слишком сложный ключ для радиус сервера. Убрали спец символы - все заработало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kiselevsp Posted August 10, 2018 · Report post А 15 уровень кто нибудь по группам на радиусе реализовал? А то сделал как в инструкции, получается на всех один enable- пароль. А можно как нибудь сделать что бы радиус решал давать или нет 15 доступ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prolan Posted August 14, 2018 · Report post Цитата В такой конфигурации, после прохождения аутентификации, пользователь попадает на коммутатор в непривилегированном режим. Если мы хотим попадать сразу в режим enable, необходимо включить авторизацию, командой authorization line vty exec radius local А RADIUS-сервер настроить так, чтобы в ответе Access-accept, приходил аттрибут service-type со значением 6. При авторизации привилегированного пользователя приходит аттрибут service-type? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 3 · Report post А если надо не 15, а 3 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted October 4 · Report post @VolanD666, для передачи уровня привилегий с сервера используется Vendor-Specific Attribute. В статье есть пример настройки: https://nag.wiki/pages/viewpage.action?pageId=25107790 То есть нужно на сервере для пользователя добавить значение для этого атрибута, сам атрибут предварительно добавить в словарь, чтобы RADIUS-сервер умел с ним работать и мог распознать его. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...