...
Описание схемы: В качестве RADIUS-Server будет использоваться FreeRADIUS на ubuntu 18.04. В данном примере будут приведены конфигурации FreeRADIUS и маршрутизатора ESR для аутентификации пользователей, подключаемых к маршрутизатору ESR по SSH, а также для повышения привилегии пользователей с помощью enable.
...
Пример конфигурации конкретного клиента в clients.conf:
панель |
---|
root@userroot@user:/etc/freeradius/3.0# cat clients.conf ... ... ... client 192.0.2.1 {
secret = password
shortname = esr
}
|
Пример конфигурации clients.conf для любого клиента:
панель |
---|
root@userroot@user:/etc/freeradius/3.0# cat clients.conf ... ... ... client ALL {
ipaddr = 0.0.0.0
netmask = 0
secret = password
}
|
...
Пример конфигурации пользователя test с уровнем привилегии 10 и конфигурации enable для повышения уровня привилегии до 15-го:
панель |
---|
root@userroot@user:/etc/freeradius/3.0# cat users ... ... ... test Cleartext-Password := "password"
Service-Type = Administrative-User,
cisco-avpair = "shell:priv-lvl=10"
$enab15$ Cleartext-Password := "enable15"
Service-Type = Administrative-User,
cisco-avpair = "shell:priv-lvl=15"
|
...
панель |
---|
Router# ssh test 203.0.113.1
Password: password
********************************************
* Welcome to ESR *
********************************************
ESR# show users
SID User name Logged in at Host Timers Login/Priv level
---- -------------------- ----------------- -------------------- ----------------- -----
1 * test 29/02/24 09:42:21 203.0.113.2 00:29:56/00:00:00 10
1 user sessions.
ESR# enable 15
Password: enable15
ESR# show users
SID User name Logged in at Host Timers Login/Priv level
---- -------------------- ----------------- -------------------- ----------------- -----
0 admin 29/02/24 09:39:14 Console 00:29:09/00:00:00 15
1 * test 29/02/24 09:42:21 203.0.113.2 00:29:56/00:19:56 15
2 1 user sessions.
|
4. Локальный пользователь remote (username remote) на маршрутизаторе ESR
...
Например, создадим пользователя test1 без привилегии на FreeRADIUS в файле users:
панель |
---|
root@userroot@user:/etc/freeradius/3.0# cat users
...
...
...
test1 Cleartext-Password := "password"
Service-Type = Administrative-User
|
Подключимся к маршрутизатору ESR по SSH пользователем test1 (пароль password), а также повысим уровень привилегии до 15 с помощью enable (пароль enable15):
...