-Pave1- Posted December 17, 2014 · Report post Добрый день. Помогите настроить SSH аутентификацию на Huawei S9300 через радиус. Не выходит каменный цветок. Мануал читал и гуглил - логику настройки так и не понял((( Пока сделал следующее: radius-server template RADIUS-TEMPLATE radius-server shared-key cipher XXX radius-server authentication A.A.A.A 1812 weight 80 radius-server authorization A.A.A.A shared-key cipher XXX В настройках темплейта команда test-aaa проходит - т.е. радиус доступен и отвечает. Далее в ааа сделал следующее: aaa _authentication-scheme default _authentication-scheme RADIUS ____authentication-mode radius local __authorization-scheme default __accounting-scheme default __domain default __domain default_admin __domain XXX.LOCAL ____authentication-scheme RADIUS ____radius-server RADIUS-TEMPLATE __local-user root password cipher XXX __local-user root privilege level 15 __local-user root service-type telnet ssh web http __undo local-user admin user-interface vty 0 4 authentication-mode aaa protocol inbound all Как далее привязать это все к SSH и заставить работать я так и не понял... Все остальное на железке заработало без проблем и она пока нравится, но вот тут затык)) Заранее премного благодарен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Heggi Posted December 17, 2014 · Report post aaa authentication-scheme default authentication-mode local radius authorization-scheme default authorization-mode local radius domain default authorization-scheme default radius-server RADIUS-TEMPLATE как-то так Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted December 17, 2014 · Report post Спасибо огромное за отзыв. Не помогло к сожалению. Одна из проблем в том, что в команде authorization-mode local radius - radius не допустимый аргумент. Только hwtacacs - которого нет и не предвидится. В мануале про радиус авторизацию вообще ни слова не нашел. Но нашел такую команду (присутствовала изначально). radius-server authorization A.A.A.A shared-key cipher XXX Еще я в первом посте забыл упомянуть, что так же есть в конфиге строки ssh user root ssh user root authentication-type password И если я ввожу логин отличный от прописанного root - ssh сессия сбрасывается еще на этапе ввода логина. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Heggi Posted December 17, 2014 · Report post Хм. да, верно, не обратил внимания. Radius действительно не поддерживается. У нас используется tacacs, вот я и написал по аналогии. не туда посмотрел authentication-scheme default authentication-mode local radius - тут есть радиус умеет authentication и возможно accounting authorization только такакс думаю в таком случае секцию authorization-scheme default оставить пустой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted December 17, 2014 · Report post И тем неменее глобальная команда radius-server authorization A.A.A.A shared-key cipher XXX присутствует))) С authorisation-mode по умолчанию конечно тоже пробовал. Пока безуспешно. Спасибо, что откликнулись. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted December 17, 2014 · Report post radius-server template nms radius-server shared-key this-key radius-server authentication 10.11.12.13 1812 radius-server authentication 10.11.13.14 1812 secondary undo radius-server user-name domain-included quit aaa authentication-scheme default authentication-mode radius quit domain default radius-server nms quit quit Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
enginer Posted July 21, 2023 · Report post Здравствуйте. Подскажите как на стороне сервера NPS настроить ? На сколько мне известно нужны коды вендора для Huawei, что бы радиус авторизация проходила верно. Установил настройки, но авторизация проходит с 1 приоритетом. В настройках стоит 15. Что не так не пойму. Поделитесь опытом, кто настраивал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dvb2000 Posted July 21, 2023 (edited) · Report post Если речь идёт вообще об привилегиях управления, а не о чём то другом, то номер атрибута не 26, а 29, и он вообще integer. Это ведь поиском за секунду находится тут: freeradius-server/share/dictionary/radius/dictionary.huawei at master · FreeRADIUS/freeradius-server · GitHub или даже тут: FAQ-Assign different privilege level for Radius users that login though SSH on device- Huawei Edited July 21, 2023 by dvb2000 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
enginer Posted July 24, 2023 · Report post @dvb2000 "Капитан очевидность" , я знаю что атрибут должен быть "29", на скрине это общий атрибут Vendor-Specific "26", все настройки под капотом. У меня и был вопрос, может кто то уже настраивал радиус авторизацию на windows servere , настройки верные но авторизация проходит с 1 приоритетом. Где подводный камень? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
enginer Posted July 24, 2023 · Report post Вопрос решился. Нужно политику поставить первую в очередь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...