IT001

現場(環境):Cisco 2960X     配合環境:freeRADIUS

原因:

想要將所有的Cisco設備統一由Radius Server管理。

處理方式:

Step 0. 設定AAA驗證時的重點

1) 先建立一組 local 帳號

(config)#username [帳號] privilege 15 password [密碼]

2) 保持一個連線在enable mode裡面(暫時不要被登出)

確認上述兩者都有做到，在往下進行。

Step1. 開啟驗證模式(aaa new-model)

<這個指令一定要先下，不然後面會找不到radius-server指令
(config)# aaa new-model

先創建local帳號的用意:

1) AAA的驗證方式是問 Radius，如果Radius死掉的話還有loacl帳號可以使用

2). enable密碼他會自己帶一組帳號為$enab15$去問 Radius，Radius死掉的話還有local enable password可以使用

Step2. 指定Radius Server

(config)#radius-server host [Radius_IP] auth-port 1812 acct-port 1813 key [密鑰]

<密鑰部分輸入時可以KEY明碼>

Step3. 設定aaa驗證

1) 遠端登入的時候用RADIUS驗證，如找不到RADIUS使用LOCAL

(config)#aaa authentication login default group radius local

2) 切換enable的時候用RADIUS驗證，如找不到RADIUS使用LOCAL

(config)#aaa authentication enable default group radius local

3) 帳號權限控管用RADIUS驗證，如找不到RADIUS使用LOCAL

驗證模式(exec)要有使用到的人在套用，不然會有問題。

參考網址內有提到，這跟登入等級有關(shell-priv-lvl=15 or 1)

(config)#aaa authentication exec default group radius local

等級1 表示為一般使用者。只有登入，沒有管理的權限。

等級15 表示為一般使用者。有登入&管理(enable)的權限。

4)*Console端要不要套進這個設定看個人，

很安全，但若忘記也是個風險。

你要一併套入的話就輸入(config )#aaa authorization console

5)*這個沒事不要下，在職場上風險太高。

(config)#aaa authentication XXX default group radius none

(none表示前面的都找不到時，就不認證了)

Step4. 驗證

當輸入完上方的AAA驗證指令後。

再次遠端登入Cisco要輸入的帳密就不是原本的帳號密碼了。

可以看到這邊必須使用之前在Radius LAB當中創建的帳號。
(這邊是串接使用資料庫的freeRadius)

test456帳號才可以正確登入。

後記:

如果你的RADIUS只是用來做登入驗證而已。

那只要輸入下面的幾行指令。

(config)# aaa new-model

(config)#radius-server host [Radius_IP] auth-port 1812 acct-port 1813 key [密鑰]

(config)#aaa authentication login default group radius local

然後測試登入狀況，沒問題就可以存檔收工。

<本篇完>

參考網址:

http://lin0204.blogspot.tw/2016/07/cisco-aaa.html