Re: [cisco-ttl] Radius Domain Dogrulama from Ozgur Karatas on 2008-02-22 (Cisco Teknik Tartisma Listesi Arsivi)

From: Ozgur Karatas <kaigeek_at_....>
Date: Fri, 22 Feb 2008 02:12:14 -0800 (PST)

Merhaba Burcu ve diger arkadaslar,
oncelikle vermis oldugunuz cevaplar ve de fikirler icin cok tesekkur ediyorum. FreeRadius ile switch ve router'lari tek bir noktadan authenticate etmeyi basardim. Ancak simdi farkli bir sorunum var. Normalde bir switch'e aaa (radius) ayarlari yaptigim zaman gidip user'i radius'dan dogruluyor ve yetki veriyor. Ayni zamanda enable password'u da radius'tan dogrulatiyorum. Ben yine de radius'un basina bir hal gelir ya da bolgenin merkeze baglantisi kopar diye router'in uzerinde radius olmadiginda baglanmak icin bir kullanici olusturuyorum.

Router(config)# username yedek privilege 15 secret deneme

Fakat radius'u down ettigimde bu kullanici ile konsoldan girdigimde kullanici direkt 15 privilevel'a sahip olamiyor. Bunun sebebi ne olabilir?

AAA ayarlarim su sekilde;

aaa new-model
aaa authentication login default group radius local aaa authentication enable default group radius aaa authorization exec default group radius local aaa authorization network default group radius local aaa accounting delay-start
aaa accounting exec default start-stop group radius aaa accounting network default start-stop group radius

Ve line con 0 ayarlarim da su sekilde;

!

line con 0
line aux 0
line vty 0 4
password deneme
login
!

Ben radius'a router'in bir sekilde baglantisi kesildiginde yedek kullanicisinin direkt # enable (level 15) olarak konsoldan girmesini istiyorum.

Yardimlariniz icin tesekkurler,
iyi calismalar.

--
Ozgur Karatas

http://www.ozgurkaratas.com
--

Burcu SAGAN <burcusgn_at_yahoo.com> wrote:                               Merhaba Ozgur,
 802.1X - radius authentication islemini Microsoft IAS
 ile yapabilirsin. Server aþaðýdaki rolleri
 çalýþtýrmalý.
 Domain Controller
 Active Directory
 DNS/DHCP
 CA - Certificate Authority Server (CA icin onceden IIS
 ve ASP.net  kurmalýsýn. )
 IAS - Internet Authentication Service
 sw uzerindeki aaa ve radius host konfigurasyonunu 
 yaptýktan sonra en onemli kýsým IAS uzerinde
 belirtigin policy.
 NAS-Port-Type matches “Async (Modem) OR Ethernet “AND”
 Windows-Groups matches “domainame\Domain Users” 
 kosullarýný kullanabilirsin. Edit profile da
 Authentication kýsmýnda ise PEAP yada smartcard or
 other certificates metodlarýndan ihtiyacýn olaný
 seciyorsun.
 IAS'da Connection Request Processing – New Connection
 Request Policy.
 General ekranýnda Add ile NAS-IP-Address matches
 “switch IP”  koþulunu  belirt.
 Ayný ekranda Edit Profile diyorsun. Athentication,
 Accounting, Attiribute tabýnýn default deðerlerini
 deðiþtirme. 
 Advanced tabýna 3 kosul ekle.
 Framed-Route – Radius Standart- IAS kurulu olan
 server’ýn IP si 
 Service-Type  - Radius Standart  - Authenticate Only
 Tunnel-Server – Radius Standart – IAS kurulu olan
 server’ýn IP si.
 LAN connection kýsýmýnda IAS da belirttigin
 authentication metodunu belirtirsen Domain uyesi olup
 olmamasýna gore port aktif veya pasif kalacaktýr.
 iyi calismalar.
 BURCU






       
---------------------------------
Be a better friend, newshound, and know-it-all with Yahoo! Mobile.  Try it now.

[Non-text portions of this message have been removed]

Received on Mon Feb 25 2008 - 11:33:35 CET

This archive was generated by hypermail 2.2.0 : Mon Feb 25 2008 - 11:33:36 CET