Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
850
Visitas
15
ÚTIL
3
Respuestas

AAA Radius

Ir a solución
Int_19
Level 1
Level 1

‎02-18-2020 08:29 AM - editado ‎02-18-2020 08:38 AM

Hola buen día.

Estoy implementando el servidor FreeRadius 3.0 en un switch cisco 2960 IOS. 15.0.

Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.

¿A que se debe ese inconveniente?

 

Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.

¿A que se debe ese inconveniente?

 

En el switch tengo la siguiente configuración:

username root password 0 root
username root15 privilege 15 secret 5 $1$k1RC$ttKmxhASqkpLcx2AFbazr.

 

aaa new-model

aaa authentication login default group radius local
aaa authorization exec default group radius local if-authenticated

 

line con 0
login authentication default ----> [agregue este comando también pero no aparece en el sh run]

 

line vty 0 4

login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh


line vty 5 15

login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh

 

Gracias.

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni

el ‎02-18-2020 01:18 PM

Hola @Int_19 

 

Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.

¿A que se debe ese inconveniente?

Los dispositivos guardan una base de datos con los usuarios y contraseñas configuradas.

Cuando en la linea de consola o en las lineas VTY ingresas el comando login local, le estas indicando al dispositivo que busque los parámetros de logueo en la BBDD local.

Cuando habilitas AAA e ingresas el comando aaa authentication login default group radius local le estas indicando al dispositivo que deje de buscar la BBDD local y busque, como prioridad, los paramentos de logueo en un servidor(RADIUS o TACACS), por lo que los parámetros locales dejan de tener validez hasta el momento de que no exista conectividad con el servidor configurado.

 

Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.

¿A que se debe ese inconveniente?

 

Hasta donde tengo entendido, la conexión por consola empieza por defecto en modo usuario.

Si deseas que solo los usuarios con privilegio 15 tengan acceso, puedes ingresar el comando privilege level 15 en la linea de consola. Creo que este comando hará que estos usuarios partan en el modo EXEC al conectarse por consola también.

 

Prueba y nos cuentas como te va.

 

Saludos

 

Ver la solución en mensaje original publicado

3 RESPUESTAS 3

Ir a solución
Daniel Ordóñez Flores
VIP
VIP

el ‎02-18-2020 10:43 AM

Hola @Int_19 

Hasta dónde tengo entendido y he visto diferentes implementaciones, cuando invocas al servidor RADIUS es este el que realiza la autenticación y hace un override de los usuarios locales, es por ello que solo puedes entrar con los users que diste de alta en tu freeradius. Para hacer una autenticación local, entonces tendrías que retirar las lineas de configuración relacionadas con aaa.

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"

**Please rate the answer if this information was useful***

**Por favor si la información fue util marca esta respuesta como correcta**

*Tu reconocimiento nos alienta a seguir participando en los foros *

Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**

Ir a solución
luis_cordova
VIP Alumni
VIP Alumni

el ‎02-18-2020 01:18 PM

Hola @Int_19 

 

Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.

¿A que se debe ese inconveniente?

Los dispositivos guardan una base de datos con los usuarios y contraseñas configuradas.

Cuando en la linea de consola o en las lineas VTY ingresas el comando login local, le estas indicando al dispositivo que busque los parámetros de logueo en la BBDD local.

Cuando habilitas AAA e ingresas el comando aaa authentication login default group radius local le estas indicando al dispositivo que deje de buscar la BBDD local y busque, como prioridad, los paramentos de logueo en un servidor(RADIUS o TACACS), por lo que los parámetros locales dejan de tener validez hasta el momento de que no exista conectividad con el servidor configurado.

 

Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.

¿A que se debe ese inconveniente?

 

Hasta donde tengo entendido, la conexión por consola empieza por defecto en modo usuario.

Si deseas que solo los usuarios con privilegio 15 tengan acceso, puedes ingresar el comando privilege level 15 en la linea de consola. Creo que este comando hará que estos usuarios partan en el modo EXEC al conectarse por consola también.

 

Prueba y nos cuentas como te va.

 

Saludos

 

Ir a solución
Diana Karolina Rojas
Cisco Employee
Cisco Employee

el ‎02-19-2020 03:33 AM

Buenos días estimado, 

 

Respecto a tus dudas con lo siguiente:

 

line con 0
login authentication default ----> [agregue este comando también pero no aparece en el sh run]

 

line vty 0 4

login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh


line vty 5 15

login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh

 

No aparecen en el show run porque ese es el comportamiento por defecto y cuando en la consola escribes un comando que esta habilitado por defecto el mismo no se muestra en la configuración. Ese equipo va a utilizar la lista "default" que definiste con los comandos de AAA a menos que definas otro método de autenticación como local u otra lista que tenga otro nombre.

 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents