RADIUS (Remote Authentication Dial In User Service) - сетевой протокол, обеспечивающий централизованное управление аутентификацией, авторизацией и учетом. Сервис работает в клиент-серверной архитектуре. Где клиентом является сетевое устройство, например, коммутатор, точка доступа, контроллер или какой-либо компьютер. Роль сервера выполняет машина, на которой работает служба радиус-сервера.
Клиентские устройства, то есть те, на которых производится аутентификация "клиентов" (хостов), называются NAS Network Access Server (сервер доступа к сети).
Для настройки соединения между сервером и NAS необходимо настроить одинаковые ключи на обоих устройствах. Сервер и NAS должны быть объявлены с каждой стороны соответственно (на NAS – Server, на Server - NAS)
Включение AAA
configure terminal aaa enable aaa-accounting enable
aaa enable - указывает, что устройство должно использовать внешнюю базу данных пользователей
aaa-accounting enable - указывает, что устройство также должно получить информацию об учетной записи с внешнего сервера
Настройка подключения к серверу Radius
Вариант 1
Глобальное указание ключа, который будет использовать для всех серверов
radius-server key 7 xIzptOffHwyx4w9HOnJ+ig== radius-server authentication host 172.16.12.20 radius-server accounting host 172.16.12.20
Вариант 2
Указание нескольких разных серверов со своим ключом
radius-server authentication host 172.16.12.20 key 0 test radius-server accounting host 172.16.12.21 key 0 test123
Вариант 3
Смешанная конфигурация
radius-server key 0 test radius-server authentication host 172.16.12.20 radius-server accounting host 172.16.12.21 key 0 test123
Для серверов без указанного ключа будет использоваться ключ из глобальной конфигурации.
Настройка использования базы данных пользователя с Radius сервера при подключении к коммутатора:
authentication line console login radius local authentication line vty login radius local authentication line web login radius local
Порядок имеет значение. Проверка осуществляется с первой базы аккаунтов.
С точки зрения сохранения доступа к устройству важно, чтобы в конце всегда была указана локальная база данных. Тогда, если нет доступа к центральным базам данных, к устройству смогут получить доступ пользователи, созданные локально на устройстве.
Аналогичным образом производится настройка TACACS сервера:
Switch(config)#tacacs-server authentication host 192.168.1.10 Switch(config)# tacacs-server key 0 test123 Switch(config)# authentication line vty login tacacs local
Проверка
VA2100#show telnet login Authenticate login by tacacs. Login user: admin VA2100#show users vty 0-15: telnet users vty 16-31: ssh users --------------------------------------------------------------------------------- Line User Location Time vty 0 admin 192.168.1.100 Jan 11 01:42:50 2023
