 Атрибут vendor-specific на FreeRaduis,  Hetene, 24-Сен-03, 15:52 [смотреть все]Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров)
Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1"
Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд".
Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания".
Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело стоит на месте.
Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific. Может быть, и можно. У меня, во всяком случае, не получается.
Может быть, какие-то особенности прописывания данного типа авторизации на Циске?
У меня стоит aaa authorization exec default group radius local.
Какие-либо ещё приписки для авторизации входящих юзеров??
aaa authorization commands? Но там ведь сразу ставится уровень...
Народ, требуется помощь.
Всем спасибо.
|
- Атрибут vendor-specific на FreeRaduis, Mike, 05:47 , 26-Сен-03 (1)
>Хочу сделать авторизацию на команды (устанавливать уровни привилегий для разных юзеров)
> Вчера пытался сделать это через cisco-avpair="shell:priv-lvl=1"
>Дебаг циски говорит "received unknown mandatory AV: priv-lvl=1" и, соответсвенно, "авторизэйшн фэйлд".
>
>Дебаг Радиуса молчит. Оно и верно, он отдал и сказал "До свидания".
>
>Одним словом, делал я и Service-Type=NAS-Prompt-User, как советовали, и всё остальное. Дело
>стоит на месте.
> Сегодня нашёл такую вещь, что типа можно это передать через vendor-specific.
>Может быть, и можно. У меня, во всяком случае, не получается.
>
> Может быть, какие-то особенности прописывания данного типа авторизации на Циске?
> У меня стоит aaa authorization exec default group radius local.
>Какие-либо ещё приписки для авторизации входящих юзеров??
> aaa authorization commands? Но там ведь сразу ставится уровень...
>Народ, требуется помощь.
> Всем спасибо. Будьте добры показать конфиг cisco и радиус (users, naslist)
- Атрибут vendor-specific на FreeRaduis, Hetene, 06:40 , 26-Сен-03 (2)
Naslist:
# NAS Name Short Name Type
#---------------- ---------- ----
#portmaster1.isp.com pm1.NY livingston
#portmaster2.isp.com pm1.LA livingston
localhost local portslave
192.168.121.254 sisca ciscoUsers:
user1 Auth-Type := Local, User-Password == "user1"
Service-Type = Framed-User,
Reply-Message = "Come in, %u"
user2 Auth-Type := Local , User-Password == "user2"
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "shell:priv-lvl=15"
Cisco:
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default enable group radius
aaa authorization exec default group radius none
aaa accounting send stop-record authentication failure
aaa accounting exec default start-stop group radius
aaa accounting commands 0 default start-stop group radius
aaa accounting network default start-stop group radius
- Атрибут vendor-specific на FreeRaduis, Mike, 10:31 , 26-Сен-03 (3)
>Cisco:
>aaa new-model
>aaa authentication login default group radius local
>aaa authentication enable default enable group radius
должно быть
aaa authentication enable default group radius enable
>aaa authorization exec default group radius none
>aaa accounting send stop-record authentication failure
>aaa accounting exec default start-stop group radius
>aaa accounting commands 0 default start-stop group radius
>aaa accounting network default start-stop group radius Кроме того в Радиус нужен пользователь $enabXX$ где XX уровень привилегий
$enab15$ Auth-Type := Local , User-Password == "user2"
Service-Type = NAS-Prompt-User Только что проверил на FreeRADIUS Version 0.7
cisco1720#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-BK9NO3R2SY-M), Version 12.2(5), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Tue 11-Sep-01 21:07 by pwade
Image text-base: 0x800080E0, data-base: 0x80CC8EE0
ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
cisco1600 uptime is 3 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c1700-bk9no3r2sy-mz.122-5.bin"
cisco 1720 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory.
Processor board ID JAD05320RB8 (4267571746), with hardware revision 0000
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
- Атрибут vendor-specific на FreeRaduis, Hetene, 11:35 , 26-Сен-03 (4)
Mike, если бы ты знал, как я тебе благодарен!!!!
Где ты нашёл про этот $enab15$ ????
Огромное спасибо!!
Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи в файл), то это будет просто супер. На дебаге циски этот аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
Файл acct_users?
- Атрибут vendor-specific на FreeRaduis, Mike, 11:39 , 26-Сен-03 (5)
>Mike, если бы ты знал, как я тебе благодарен!!!!
> Где ты нашёл про этот $enab15$ ????
>Огромное спасибо!!
> Если ты ещё скажешь, где прописать аккаунтинг команд (именно процесс записи
>в файл), то это будет просто супер. На дебаге циски этот
>аккаунтинг есть, но почему-то на радиус-сервер он никуда не пишется.
>Файл acct_users?
Про аккаунтинг ничего не скажу - у нас не используется вообще :)
А $enab15$ ищется через дебаг радиуса. (radiusd -X)
|
Версия для распечатки
