Cisco + FreeRADIUS:Exec 15 级特权模式

网络工程 思科 故障排除 啊啊啊 验证 半径
2021-07-06 04:21:56

我有两个路由器:带有 IOS 版本的 Cisco ISR 2921 和带有 IOS15.0(1r)M9的老家伙 Cisco C2600 12.0(7)XK1

我在 FreeRADIUS 服务器上进行了设置:

router-admin   MD5-Password := "<MD5-Digested-Password>"
               Service-Type = NAS-Prompt-User,
               Cisco-AVPair += "shell:priv-lvl=15"

我已经在两个路由器上设置了以下配置:

aaa new-model
aaa authentication login default group radius local

当您进行身份验证时,ISR 2921 会立即为您提供第 15 级权限 (# shell),但 C2600 会提供用户模式 ​​(> shell)。为什么会发生这种情况?也许 IOS 还不支持该选项,或者我必须做一些额外的配置吗?

更新:

实际上还有一点不同的是,C2600 运行 telnet(因为它不支持 SSH)而 2921 运行 SSH。

来自 2921 的 VTY 部分:

line vty 0 4
 access-class 50 in
 exec-timeout 5 0
 logging synchronous
 length 0
 transport input ssh
line vty 5 30
 access-class 50 in
 exec-timeout 5 0
 logging synchronous
 transport input ssh
!

来自 2921 的 AAA 部分:

aaa new-model
aaa authentication login default group radius local
aaa authentication login IPSEC-USERS group radius
aaa authorization exec default group radius local
aaa authorization network IPSEC-USERS group radius
aaa accounting delay-start
aaa accounting update periodic 10
aaa accounting exec default
 group radius
aaa accounting network IPSEC-USERS
 group radius
aaa accounting system default
 group radius
aaa session-id unique
radius-server host 192.168.5.55 auth-port 1812 acct-port 1813
radius-server key 7 <KEY>

C2600 的 VTY 部分:

line vty 0 4
 password 7 <pw>
!

C2600 的 AAA 部分:

aaa new-model
aaa authentication login default group radius local
aaa authorization network default group radius local
aaa accounting exec default start-stop group radius
aaa accounting commands 15 default stop-only group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
1个回答

似乎c2600中缺少这一行...

aaa authorization exec default group radius local

Exec 授权使登录会话能够关注来自 RADIUS 服务器的隐私信息。

其它你可能感兴趣的问题
上一篇思科 ASA 9.0(1) - NAT/PAT 下一篇ipNetToMediaPhysAddress 和 dot1qTpFdbPort 有什么区别?