Маршрутизаторы серии ME поддерживают функции аутентификации и авторизации через внешние сервера RADIUS и TACACS+, а также учет сессий TACACS+.

Настройка разделена на 3 этапа:

  1. Конфигурация сервера.
  2. Авторизация через RADIUS — AAA.
  3. Line.

1. Для начала работы с RADIUS/TACACS-сервером указывается его адрес (при необходимости также указывается vrf):

(config)# radius-server host 192.168.16.55 vrf mgmt-intf

2. Задается IP-адрес, который будет использоваться для отправки пакетов на RADIUS-сервер:

(config-host)# source-address 192.168.17.208

3. Указывается пароль для доступа к RADIUS-серверу:

(config-host)# password ARBUZ 

Пароль хранится в конфигурации в зашифрованном виде. 

4. Если в сети используется несколько серверов, можно задать им приоритеты:

(config-host)# priority 5000

5. Указываются глобальные параметры: время ожидания ответа RADIUS-сервера и количество попыток обращения к нему:

(config)# radius-server timeout 5
(config)# radius-server retransmit 5

Также имеется возможность индивидуально, для каждого сервера настроить timeout 

В нашем случае финальный вариант будет выглядеть следующим образом:

radius-server host 192.168.16.55 vrf mgmt-intf 
  password encrypted BD8621588A 
  priority 5000 
  source-address 192.168.17.208 
exit 
radius-server timeout 5 
radius-server retransmit 5

Настройка методов аутентификации для будущего списка «RADIUS»

В категории method реализовано 4 параметра аутентификации:

(config)# aaa authentication login RADIUS
(config-login)# method
  Login method           Set login method 
    ldap                 Authentication via LDAP server 
    local                Local authentication 
    radius               Authentication via RADIUS server 
    tacacs               Authentication via TACACS server

Для примера будем использовать следующие методы:

aaa authentication login RADIUS 
  method radius 
  method local 
exit

Данная конфигурация означает, что если RADIUS-сервер не ответит в течение заданных интервалов (timeout и retransmit), аутентификация будет выполнена на основе локальной базы пользователей маршрутизатора.

Опция aaa accounting login позволяет отправлять на RADIUS-сервер информацию о событиях входа и выхода пользователей:

(config)# aaa accounting login start-stop radius

Следующим шагом настраивается аутентификация входа пользователей при подключении по Telnet/SSH/console через ранее созданный список «RADIUS», а также устанавливается автоматическое закрытие сессии после 5 минут неактивности пользователя:

(config)# line telnet login authentication RADIUS 
(config)# line telnet session-timeout 5
  • Нет меток