假设我们有这样一行:
aaa authentication login default group radius group tacacs+ local
根据IOS 12.2 文档:
如果 R1 对用户进行身份验证,它会向网络访问服务器发出 PASS 响应,并允许用户访问网络。如果 R1 返回 FAIL 响应,则拒绝用户访问并终止会话。如果 R1 没有响应,则网络访问服务器将其作为ERROR 处理并查询 R2 以获取身份验证信息。
重要的是要记住 FAIL 响应与 ERROR 有很大不同。FAIL 表示用户未满足适用的身份验证数据库中包含的成功身份验证标准。身份验证以 FAIL 响应结束。ERROR 表示安全服务器尚未响应身份验证查询。因此,未尝试任何身份验证。只有当检测到 ERROR 时,AAA 才会选择认证方法列表中定义的下一个认证方法。
我的问题是:Cisco 设备如何在身份验证服务器上准确执行检查?是否可以修改/扩展此方法?
这个问题背后的动机是确保可达性 creteria 满足某些特定的 L7 方法而不是 L3/L4。
路由器发送初始请求,并简单地等待来自 Radius/TACACS 服务器的格式正确的答复。没有主动的“keepalive”风格的健康检查;路由器不会 ping 服务器并查看响应时间或类似的东西。
路由器接下来做什么取决于您配置的标准。通常,一旦超时到期(默认为 5 秒),或者如果收到格式错误的响应,路由器将尝试辅助服务器或故障到下一个配置的身份验证方法。
与 TACACS 不同,Radius 还可以将服务器标记为“死机”,并在预先配置的时间内停止尝试对其进行身份验证。
请参阅以下设置以调整此行为:
超时配置:
TEST-1861(config)#tacacs-server timeout ?
<1-1000> Wait time (default 5 seconds)
TEST-1861(config)#radius-server timeout ?
<1-1000> Wait time (default 5 seconds)
半径死区定时器配置:
TEST-1861(config)#radius-server deadtime ?
<1-1440> time in minutes
TEST-1861(config)#radius-server dead-criteria ?
time The time during which no properly formed
response must be recieved from the RADIUS server
tries The number of times the router must fail
to receive a response from the radius server
to mark it as dead
TEST-1861(config)#radius-server dead-criteria time ?
<1-120> Time in seconds during which no response must
be received from the RADIUS server in order to consider it dead
TEST-1861(config)#radius-server dead-criteria tries ?
<1-100> Number of transmits to radius server without
responses before marking server as dead