Cisco 2960 半径配置

网络工程 思科 网络 验证 半径 啊啊啊
2022-02-04 01:58:35

我有多个 cisco 交换机,例如Nexus家庭和IOS家庭交换机,现在我正在尝试配置集中式身份验证,因此我安装了 Freeradius 和 freeIPA(ldap 服务器)

我在 LDAP 中创建了两个组net-adminnet-operator(只读视图),然后在文件中的 freeradius 中映射/etc/raddb/user

# Cisco ldap group def:
#
DEFAULT  ldap1-Ldap-Group == "cn=net-admin,cn=groups,cn=compat,dc=example,dc=com"
         Service-Type = Administrative-User,
         Service-Type = Login-User,
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:roles=network-admin",
         Cisco-AVPair += "shell:priv-lvl=15"

DEFAULT  ldap1-Ldap-Group == "cn=net-operator,cn=groups,cn=compat,dc=example,dc=com"
         Service-Type = Administrative-User,
         Service-Type = Login-User,
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:roles=net-operator",
         Cisco-AVPair += "shell:priv-lvl=1"

为半径配置了所有 cisco nexus 交换机 aaa,一切正常!

现在谈到Cisco 2960行为非常奇怪的开关,我已经配置了以下。

aaa new-model
!
!
aaa authentication login default group radius local
aaa authorization exec default local
aaa authorization network default local
!
radius-server host 10.10.10.25 auth-port 1812 acct-port 1813 key Secret123

当我尝试登录 cisco 2960 交换机时它失败了所以我只创建了本地帐户以查看它是否有效所以我做了以下

2960(config)# username spatel password foo

现在我可以使用我的 LDAP 密码登录 cisco 2960 交换机,foo所以问题是为什么 Cisco 2960 不查看 LDAP 帐户而是查看本地帐户?

1个回答

这一行:

aaa authorization exec default local

不允许您使用 Radius 凭据启动 shell (Exec)。您应该将其更改为:

aaa authorization exec default group radius local
其它你可能感兴趣的问题
上一篇VLAN 与子网的优缺点 下一篇2 个 Wi-Fi 适配器可以与单个天线一起使用吗?