RADIUS (Remote Authentication Dial In User Service) - сетевой протокол, обеспечивающий централизованное управление аутентификацией, авторизацией и учетом. Сервис работает в клиент-серверной архитектуре. Где клиентом является сетевое устройство, например, коммутатор, точка доступа, контроллер или какой-либо компьютер. Роль сервера выполняет машина, на которой работает служба радиус-сервера.
Клиентские устройства, то есть те, на которых производится аутентификация "клиентов" (хостов), называются NAS Network Access Server (сервер доступа к сети).
Для настройки соединения между сервером и NAS необходимо настроить одинаковые ключи на обоих устройствах. Сервер и NAS должны быть объявлены с каждой стороны соответственно (на NAS – Server, на Server - NAS)
Включение AAA
configure terminal aaa enable aaa-accounting enable
aaa enable - указывает, что устройство должно использовать внешнюю базу данных пользователей
aaa-accounting enable - указывает, что устройство также должно получить информацию об учетной записи с внешнего сервера
Настройка подключения к серверу Radius
Вариант 1
Глобальное указание ключа, который будет использовать для всех серверов
radius-server key 7 xIzptOffHwyx4w9HOnJ+ig== radius-server authentication host 172.16.12.20 radius-server accounting host 172.16.12.20
Вариант 2
Указание нескольких разных серверов со своим ключом
radius-server authentication host 172.16.12.20 key 0 test radius-server accounting host 172.16.12.21 key 0 test123
Вариант 3
Смешанная конфигурация
radius-server key 0 test radius-server authentication host 172.16.12.20 radius-server accounting host 172.16.12.21 key 0 test123
Для серверов без указанного ключа будет использоваться ключ из глобальной конфигурации.
Настройка использования базы данных пользователя с Radius сервера при подключении к коммутатора:
authentication line console login radius local authentication line vty login radius local authentication line web login radius local
Порядок имеет значение. Проверка осуществляется с первой базы аккаунтов.
С точки зрения сохранения доступа к устройству важно, чтобы в конце всегда была указана локальная база данных. Тогда, если нет доступа к центральным базам данных, к устройству смогут получить доступ пользователи, созданные локально на устройстве.
