radius... cisco... nem megy.

2001. Jún. 17., V, 11:44:12 CEST

Hello,

van egy kis gondom RADIUS témában, és hát nem tudom, hogy ki a bűnös: a
Cisco, a config, vagy a RADIUS szerver.

Röviden:

version 11.3 / c26xx

aaa new-model
aaa authentication login default radius enable
aaa authentication login consoleport enable
aaa authentication login noauth none
aaa authentication ppp dialins radius
aaa authorization network default if-authenticated radius
aaa accounting network default wait-start radius

...

interface Group-Async1
 ...
 ppp authentication pap dialins

Na ez így megy, sőt, még accountál is.  A bajom ott van, hogy be kellett
szúrnom a network authorization-be az "if-authenticated"-et, mert különben
visszadobta authorization failed-del a dolgot.  Pedig elvileg működnie
kellene nélküle, nem?

A fő bajom az, hogy így mintha nem venné figyelembe a RADIUS felől érkező
replyokat normálisan (IP cím, ilyenek), sőt, úgy tűnik, semmit nem vesz
figyelembe.  Amennyire én olvasgattam erről Cisco környékén, azt vettem
ki, hogy az az "if-authenticated" nagyon nem kellene oda.  Tud valaki
helpelni?  TACACS+-szal gyönyörűen megy, meg minden.

A RADIUS szerver lenne a béna?  Egy ICRADIUS, amit ugyan meg kellett egy
kicsit turkálni, de csak az SQL-részéhez nyúltam.

Működőleg így nézett ki tacacs+-nál a konf:

aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication login consoleport enable
aaa authentication login noauth none
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default if-authenticated local tacacs+
aaa authorization network default tacacs+
aaa accounting network default start-stop tacacs+

Uff.

                                         ______  o _. __
                                         / / / (_(_(__(_)  @ bsd.hu