Jump to content

Radius аутентификация SSH на коммутаторах Huawei

-Pave1-
 Share

Recommended Posts

-Pave1-

-Pave1-

Posted
Posted

Добрый день.

 

Помогите настроить SSH аутентификацию на Huawei S9300 через радиус.

Не выходит каменный цветок. Мануал читал и гуглил - логику настройки так и не понял(((

 

Пока сделал следующее:

 

radius-server template RADIUS-TEMPLATE

radius-server shared-key cipher XXX

radius-server authentication A.A.A.A 1812 weight 80

radius-server authorization A.A.A.A shared-key cipher XXX

 

В настройках темплейта команда test-aaa проходит - т.е. радиус доступен и отвечает.

 

Далее в ааа сделал следующее:

 

aaa

_authentication-scheme default

_authentication-scheme RADIUS

____authentication-mode radius local

__authorization-scheme default

__accounting-scheme default

__domain default

__domain default_admin

__domain XXX.LOCAL

____authentication-scheme RADIUS

____radius-server RADIUS-TEMPLATE

__local-user root password cipher XXX

__local-user root privilege level 15

__local-user root service-type telnet ssh web http

__undo local-user admin

 

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

 

Как далее привязать это все к SSH и заставить работать я так и не понял...

 

Все остальное на железке заработало без проблем и она пока нравится, но вот тут затык))

 

Заранее премного благодарен.

Heggi

Heggi

Posted
Posted 

aaa
authentication-scheme default
 authentication-mode local radius
authorization-scheme default
 authorization-mode local radius
domain default
 authorization-scheme default
 radius-server RADIUS-TEMPLATE

 

как-то так

-Pave1-

-Pave1-

Posted
  • Author
Posted

Спасибо огромное за отзыв.

 

Не помогло к сожалению. Одна из проблем в том, что в команде

authorization-mode local radius - radius не допустимый аргумент. Только hwtacacs - которого нет и не предвидится.

 

В мануале про радиус авторизацию вообще ни слова не нашел. Но нашел такую команду (присутствовала изначально).

radius-server authorization A.A.A.A shared-key cipher XXX

 

Еще я в первом посте забыл упомянуть, что так же есть в конфиге строки

 

ssh user root

ssh user root authentication-type password

 

И если я ввожу логин отличный от прописанного root - ssh сессия сбрасывается еще на этапе ввода логина.

Heggi

Heggi

Posted
Posted

Хм. да, верно, не обратил внимания. Radius действительно не поддерживается. У нас используется tacacs, вот я и написал по аналогии.

 

не туда посмотрел

 

authentication-scheme default

authentication-mode local radius - тут есть

 

радиус умеет authentication и возможно accounting

authorization только такакс

думаю в таком случае секцию authorization-scheme default оставить пустой

-Pave1-

-Pave1-

Posted
  • Author
Posted

И тем неменее глобальная команда

radius-server authorization A.A.A.A shared-key cipher XXX

присутствует)))

 

С authorisation-mode по умолчанию конечно тоже пробовал. Пока безуспешно.

 

Спасибо, что откликнулись.

rz3dwy

rz3dwy

Posted
Posted

radius-server template nms

radius-server shared-key this-key

radius-server authentication 10.11.12.13 1812

radius-server authentication 10.11.13.14 1812 secondary

undo radius-server user-name domain-included

quit

 

aaa

authentication-scheme default

authentication-mode radius

quit

domain default

radius-server nms

quit

quit

  • 8 years later...
enginer

enginer

Posted
Posted

Здравствуйте. Подскажите как на стороне сервера NPS настроить ? На сколько мне известно нужны коды вендора для Huawei, что бы радиус авторизация проходила верно. 

Установил настройки, но авторизация проходит с 1 приоритетом. В настройках стоит 15. Что не так не пойму.

image.thumb.png.ac72c49e8f1cdf30a1c95d3f4a518843.png

 

Поделитесь опытом, кто настраивал.

dvb2000

dvb2000

Posted
Posted (edited)

Если речь идёт вообще об привилегиях управления, а не о чём то другом, то номер атрибута не 26, а 29, и он вообще integer.

Это ведь поиском за секунду находится тут:

freeradius-server/share/dictionary/radius/dictionary.huawei at master · FreeRADIUS/freeradius-server · GitHub

 

или даже тут:

FAQ-Assign different privilege level for Radius users that login though SSH on device- Huawei

 

Edited by dvb2000
enginer

enginer

Posted
Posted

@dvb2000 "Капитан очевидность" , я знаю что атрибут должен быть "29", на скрине это общий  атрибут Vendor-Specific "26", все настройки под капотом.

 

image.thumb.png.f21f20d692fde02777c160e3ed634e08.png

 

У меня и был вопрос, может кто то уже настраивал радиус авторизацию на windows servere , настройки верные но авторизация проходит с 1 приоритетом. Где подводный камень?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.