Jump to content
Калькуляторы

Radius аутентификация SSH на коммутаторах Huawei Radius аутентификация SSH на коммутаторах Huawei

Добрый день.

 

Помогите настроить SSH аутентификацию на Huawei S9300 через радиус.

Не выходит каменный цветок. Мануал читал и гуглил - логику настройки так и не понял(((

 

Пока сделал следующее:

 

radius-server template RADIUS-TEMPLATE

radius-server shared-key cipher XXX

radius-server authentication A.A.A.A 1812 weight 80

radius-server authorization A.A.A.A shared-key cipher XXX

 

В настройках темплейта команда test-aaa проходит - т.е. радиус доступен и отвечает.

 

Далее в ааа сделал следующее:

 

aaa

_authentication-scheme default

_authentication-scheme RADIUS

____authentication-mode radius local

__authorization-scheme default

__accounting-scheme default

__domain default

__domain default_admin

__domain XXX.LOCAL

____authentication-scheme RADIUS

____radius-server RADIUS-TEMPLATE

__local-user root password cipher XXX

__local-user root privilege level 15

__local-user root service-type telnet ssh web http

__undo local-user admin

 

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

 

Как далее привязать это все к SSH и заставить работать я так и не понял...

 

Все остальное на железке заработало без проблем и она пока нравится, но вот тут затык))

 

Заранее премного благодарен.

Share this post


Link to post
Share on other sites

aaa
authentication-scheme default
 authentication-mode local radius
authorization-scheme default
 authorization-mode local radius
domain default
 authorization-scheme default
 radius-server RADIUS-TEMPLATE

 

как-то так

Share this post


Link to post
Share on other sites

Спасибо огромное за отзыв.

 

Не помогло к сожалению. Одна из проблем в том, что в команде

authorization-mode local radius - radius не допустимый аргумент. Только hwtacacs - которого нет и не предвидится.

 

В мануале про радиус авторизацию вообще ни слова не нашел. Но нашел такую команду (присутствовала изначально).

radius-server authorization A.A.A.A shared-key cipher XXX

 

Еще я в первом посте забыл упомянуть, что так же есть в конфиге строки

 

ssh user root

ssh user root authentication-type password

 

И если я ввожу логин отличный от прописанного root - ssh сессия сбрасывается еще на этапе ввода логина.

Share this post


Link to post
Share on other sites

Хм. да, верно, не обратил внимания. Radius действительно не поддерживается. У нас используется tacacs, вот я и написал по аналогии.

 

не туда посмотрел

 

authentication-scheme default

authentication-mode local radius - тут есть

 

радиус умеет authentication и возможно accounting

authorization только такакс

думаю в таком случае секцию authorization-scheme default оставить пустой

Share this post


Link to post
Share on other sites

И тем неменее глобальная команда

radius-server authorization A.A.A.A shared-key cipher XXX

присутствует)))

 

С authorisation-mode по умолчанию конечно тоже пробовал. Пока безуспешно.

 

Спасибо, что откликнулись.

Share this post


Link to post
Share on other sites

radius-server template nms

radius-server shared-key this-key

radius-server authentication 10.11.12.13 1812

radius-server authentication 10.11.13.14 1812 secondary

undo radius-server user-name domain-included

quit

 

aaa

authentication-scheme default

authentication-mode radius

quit

domain default

radius-server nms

quit

quit

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this