Авторизация через Radius на коммутаторах H#C

[sokolgen]

Всем здравствуйте! 

Пытаюсь настроить авторизацию на коммутаторы H3C через Radius.

 

Конфигурация на H3C для Radius

radius scheme radius
 primary authentication 10.2.2.2
 primary accounting 10.2.2.2
 key authentication simple 123456
 key accounting simple 123456
 user-name-format without-domain
#
domain uc
 authentication login radius-scheme radius local
#
 domain default enable uc
#

Конфигурация учетной локальной записи

local-user admin class manage
 password simple 123456789
 service-type http ssh terminal
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator

При такой конфигурации авторизация проходит только по учетной записи Radius, но не по локальной

Если настроить вот так

domain default enable system

авторизация проходит только по локальной учетной записи.

Как настроить, чтобы авторизация проходила и по локально УЗ и через Radius?

[smart85]

authentication login radius-scheme radius local

если верно понимаю, сначала радиус, и если радиус не ответил, то локально смотрит

[fox_m]

У меня вот так сделано:
 

radius scheme my-radius
 primary authentication 1.2.3.4 vpn-instance MGMT key cipher *********************
 secondary authentication 1.2.3.5 vpn-instance MGMT key cipher *************************
 user-name-format without-domain
 nas-ip interface LoopBack0

domain domain.ru
 authentication login radius-scheme my-radius local
 authorization login radius-scheme my-radius local


local-user username class manage
 service-type telnet ssh terminal
 authorization-attribute user-role network-admin

local-user localadmin class manage
 password hash **********************
 service-type telnet ssh terminal
 authorization-attribute user-role network-admin

username - это radius пользователь, localadmin - локальный, под которым захожу, если Radius недоступен

 

 

Edited March 6, 2024 by fox_m