info Настройка Radius AAA на коммутаторах SNR

 

С помощью протокола RADIUS можно организовать централизованную систему авторизации и аутентификации сотрудников, которым для проведения диагностики или конфигурирования оборудования необходим доступ на коммутаторы. Таким образом значительно упрощается сопровождение большого количества коммутаторов и постоянно обновляющегося списка пользователей.

Данный функционал поддерживается всеми управляемыми коммутаторами SNR.

 

 

Для начала необходимо настроить radius-сервер и включить aaa глобально:

radius-server authentication host {ip_addr} [key {key}]
aaa enable

Затем настраиваем аутентификацию пользователей через radius, при доступе через консольный порт, через удаленный терминал, и через web:

authentication line console login radius local
authentication line vty login radius local
authentication line web login radius local

(важно добавить local после radius, иначе при недоступности RADIUS-сервера аутентификация будет невозможно даже при наличии локальных учетных записей)

 

Аутентификация включена, теперь когда вводится логин и пароль, для доступа на коммутатор, они отсылаются на RADIUS-сервер, который отвечает либо подтверждением доступа, либо запретом. Если radius сервер не отвечает, тогда используется следующий метод аутентификации (в нашей конфигурации локальный).

 

В такой конфигурации, после прохождения аутентификации, пользователь попадает на коммутатор в непривилегированном режим. Если мы хотим попадать сразу в режим enable, необходимо включить авторизацию, командой

authorization line vty exec radius local

А RADIUS-сервер настроить так, чтобы в ответе Access-accept, приходил аттрибут service-type со значением 6.

Так-же можно настроить проверку пароля enable через RADIUS. Это делается командой

authentication enable radius local

В этом случае, на RADIUS-сервере необходимо завести пользователя с логином $enab15$