بعد الإعداد الذي أجريته لأجهزة Cisco الخاصة بي ، حصلت على مستوى أساسي من الوظائف لمصادقة المستخدمين الذين يقومون بتسجيل الدخول إلى محولات 3Com المصادق عليها مقابل خادم RADIUS. المشكلة هي أنني لا أستطيع الحصول على المستخدم للحصول على امتيازات المسؤول. أنا أستخدم خدمة IAS من Microsoft. وفقًا لوثائق 3Com عند تكوين سياسة الوصول على IAS ، يجب استخدام قيمة 010600000003 لتحديد مستوى وصول المسؤول. يجب إدخال هذه القيمة في قسم ملف تعريف الطلب:

010600000003 - indicates admin privileges  
010600000002 - manager  
010600000001 - monitor  
010600000000 - visitor  

هنا التكوين على المحول:

radius scheme system  
 server-type standard  
 primary authentication XXX.XXX.XXX.XXX  
 accounting optional  
 key authentication XXXXXX  
 key accounting XXXXXX  
#  
domain system  
 scheme radius-scheme system  
#  
local-user admin  
 service-type ssh telnet terminal  
 level 3  
local-user manager  
 service-type ssh telnet terminal  
 level 2  
local-user monitor  
 service-type ssh telnet terminal  
 level 1  

يعمل التكوين مع خادم IAS لأنه يمكنني التحقق من أحداث تسجيل دخول المستخدم باستخدام أداة Eventviewer.

فيما يلي إخراج الأمر DISPLAY RADIUS في المحول:

 [4500]disp radius

------------------------------------------------------------------

SchemeName  =system                           Index=0    Type=standard  
Primary Auth IP  =XXX.XXX.XXX.XXX  Port=1645   State=active  
Primary Acct IP  =127.0.0.1        Port=1646   State=active  
Second  Auth IP  =0.0.0.0          Port=1812   State=block  
Second  Acct IP  =0.0.0.0          Port=1813   State=block  
Auth Server Encryption Key= XXXXXX  
Acct Server Encryption Key= XXXXXX  
Accounting method = optional  
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12  
Permitted send realtime PKT failed counts       =5  
Retry sending times of noresponse acct-stop-PKT =500  
Quiet-interval(min)                             =5  
Username format                                 =without-domain  
Data flow unit                                  =Byte  
Packet unit                                     =1  


------------------------------------------------------------------

Total 1 RADIUS scheme(s). 1 listed  

فيما يلي ناتج أمري DISPLAY DOMAIN و DISPLAY CONNECTION بعد أن يقوم المستخدمون بتسجيل الدخول إلى المحول:

[4500]display domain  
0  Domain = system  
   State = Active  
   RADIUS Scheme = system  
   Access-limit = Disable  
   Domain User Template:  
   Idle-cut = Disable  
   Self-service = Disable  
   Messenger Time = Disable  

Default Domain Name: system  
Total 1 domain(s).1 listed.  


[4500]display connection  
Index=0   ,[email protected]  
 IP=0.0.0.0  

Index=2   ,[email protected]  
 IP=xxx.xxx.xxx.xxx  

 On Unit 1:Total 2 connections matched, 2 listed.  
 Total 2 connections matched, 2 listed.  
[4500]  

إليك إحصائيات DISP RADIUS:

[4500]  
%Apr  2 00:23:39:957 2000 4500 SHELL/5/LOGIN:- 1 - ecajigas(xxx.xxx.xxx.xxx) in un                                 it1 logindisp radius stat  
state statistic(total=1048):  
     DEAD=1046     AuthProc=0        AuthSucc=0  
AcctStart=0         RLTSend=0         RLTWait=2  
 AcctStop=0          OnLine=2            Stop=0  
 StateErr=0  

Received and Sent packets statistic:
Unit 1........................................
Sent PKT total  :4        Received PKT total:1  
Resend Times     Resend total  
1                1  
2                1  
Total            2  
RADIUS received packets statistic:  
Code= 2,Num=1       ,Err=0  
Code= 3,Num=0       ,Err=0  
Code= 5,Num=0       ,Err=0  
Code=11,Num=0       ,Err=0  

Running statistic:  
RADIUS received messages statistic:  
Normal auth request             , Num=1       , Err=0       , Succ=1  
EAP auth request                , Num=0       , Err=0       , Succ=0  
Account request                 , Num=1       , Err=0       , Succ=1  
Account off request             , Num=0       , Err=0       , Succ=0  
PKT auth timeout                , Num=0       , Err=0       , Succ=0  
PKT acct_timeout                , Num=3       , Err=1       , Succ=2  
Realtime Account timer          , Num=0       , Err=0       , Succ=0  
PKT response                    , Num=1       , Err=0       , Succ=1  
EAP reauth_request              , Num=0       , Err=0       , Succ=0  
PORTAL access                   , Num=0       , Err=0       , Succ=0  
Update ack                      , Num=0       , Err=0       , Succ=0  
PORTAL access ack               , Num=0       , Err=0       , Succ=0  
Session ctrl pkt                , Num=0       , Err=0       , Succ=0  
RADIUS sent messages statistic:  
Auth accept                     , Num=0  
Auth reject                     , Num=0  
EAP auth replying               , Num=0  
Account success                 , Num=0  
Account failure                 , Num=0  
Cut req                         , Num=0  
RecError_MSG_sum:0        SndMSG_Fail_sum :0  
Timer_Err       :0        Alloc_Mem_Err   :0  
State Mismatch  :0        Other_Error     :0  

No-response-acct-stop packet =0  
Discarded No-response-acct-stop packet for buffer overflow =0  

المشكلة الأخرى هي أنه عندما لا يتوفر خادم RADIUS ، لا يمكنني تسجيل الدخول إلى المحول. يحتوي المحول على 3 حسابات محلية ولكن لا يعمل أي منها. كيف يمكنني تحديد التبديل لاستخدام الحسابات المحلية في حالة عدم توفر خدمة RADIUS؟

answer

يمكننا تسجيل الدخول إلى 3coms 45 و 55 باستخدام مصادقة SSH و RADIUS ، إلا أن الإعداد مع IAS أمر صعب بعض الشيء.

مصادقة RADIUS مع تجاوز الفشل المحلي

هذا هو التكوين الذي يعمل على SW5500.

 sysname 5500-SI
#
 password-control length 4
 password-control history 2
 password-control login-attempt 3 exceed lock-time 120
#
 super password level 3 simple password
#
 local-server nas-ip 127.0.0.1 key 3com
#
 domain default enable 3comdevicelogin
#
 dot1x
 dot1x timer tx-period 10
 dot1x timer handshake-period 1024
 dot1x authentication-method eap
#
radius scheme system
#
radius scheme 3comapsc
 server-type standard
 primary authentication 152.67.101.23
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
radius scheme 3ComDeviceLogin
 server-type extended
 primary authentication 152.67.101.39
 accounting optional
 key authentication radius
 user-name-format without-domain
 nas-ip 152.67.101.54
#
domain 3comdevicelogin
 scheme radius-scheme 3ComDeviceLogin local
domain apsc
 scheme radius-scheme 3comapsc
domain system
#
local-user admin
 service-type ssh telnet terminal
 level 3
 password-control aging 90
local-user manager
 service-type ssh telnet terminal
 level 2
local-user monitor
 service-type ssh telnet terminal
 level 1
#