Cisco同时使用本地帐户配置RADIUS

网络工程 思科 网络 验证 半径
2021-07-12 13:48:48

在实验室中,我正在使用 freeradius 进行 Cisco 身份验证,一切正常,但我希望我的 cisco 交换机首先在 Radius 中查找,如果用户没有找到,则转到本地数据库。

目前我看到 cisco 交换机询问半径,如果没有找到用户,则它不会查看本地数据库。

我需要本地帐户的原因是因为radius 出现任何问题或任何玩家无法登录的情况,我希望至少管理员可以登录交换机并执行网络活动。

以下是我的配置:

radius-server host 10.10.10.10 key 7 "supersecter" authentication accounting
aaa group server radius FREERADIUS
    server 10.10.10.10
    use-vrf management
    source-interface mgmt0

在半径中,我有以下配置:

ops             Cleartext-Password := 123456
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=network-operator",
                Cisco-AVPair += "shell:priv-lvl=1"

我可以使用ops帐户成功登录,但无法使用本地帐户登录,例如admin.

编辑:我已经测试过radius是否失败/死了,然后它会转到本地帐户,但我希望两者一起工作,而不仅仅是在死senario中。

是否可以回退到本地?

1个回答

这是不可能的。您必须为不同的接口设置不同的身份验证方法。像 VTY 0-4 使用 RADIUS,VTY 5-15 使用本地帐户。通常,您会为 VTY 使用 RADIUS 或类似方法,然后离开控制台进行本地身份验证,因为您必须亲自到设备或通过 IP KVM/KMM 连接才能使用它。

对于 NX-OS,您可以按照此处找到的指南中的步骤操作本文适用于 Nexus 9k 设备,但其他型号的步骤相同。如果您单击配置 AAA,有一个子链接向您展示如何配置控制台访问以使用本地身份验证。

其它你可能感兴趣的问题
上一篇Cisco 5505 ASA 防火墙 Ipsec vpn-可以将两个外部不同的公共 ip 连接到两个不同的本地子网 下一篇如何查看相邻路由器的路由表?