Re: [cisco-ttl] Radius Domain Dogrulama

From: Ozgur Karatas <kaigeek_at_....>
Date: Fri, 22 Feb 2008 02:12:14 -0800 (PST)


Merhaba Burcu ve diger arkadaslar,
oncelikle vermis oldugunuz cevaplar ve de fikirler icin cok tesekkur ediyorum. FreeRadius ile switch ve router'lari tek bir noktadan authenticate etmeyi basardim. Ancak simdi farkli bir sorunum var. Normalde bir switch'e aaa (radius) ayarlari yaptigim zaman gidip user'i radius'dan dogruluyor ve yetki veriyor. Ayni zamanda enable password'u da radius'tan dogrulatiyorum. Ben yine de radius'un basina bir hal gelir ya da bolgenin merkeze baglantisi kopar diye router'in uzerinde radius olmadiginda baglanmak icin bir kullanici olusturuyorum.

Router(config)# username yedek privilege 15 secret deneme

Fakat radius'u down ettigimde bu kullanici ile konsoldan girdigimde kullanici direkt 15 privilevel'a sahip olamiyor. Bunun sebebi ne olabilir?

AAA ayarlarim su sekilde;

aaa new-model
aaa authentication login default group radius local aaa authentication enable default group radius aaa authorization exec default group radius local aaa authorization network default group radius local aaa accounting delay-start
aaa accounting exec default start-stop group radius aaa accounting network default start-stop group radius

Ve line con 0 ayarlarim da su sekilde;

!

line con 0
line aux 0
line vty 0 4
 password deneme
 login
!

Ben radius'a router'in bir sekilde baglantisi kesildiginde yedek kullanicisinin direkt # enable (level 15) olarak konsoldan girmesini istiyorum.

Yardimlariniz icin tesekkurler,
iyi calismalar.

--
Ozgur Karatas

http://www.ozgurkaratas.com
--

Burcu SAGAN <burcusgn_at_yahoo.com> wrote:                               Merhaba Ozgur,
 802.1X - radius authentication islemini Microsoft IAS
 ile yapabilirsin. Server aşağıdaki rolleri
 çalıştırmalı.
 Domain Controller
 Active Directory
 DNS/DHCP
 CA - Certificate Authority Server (CA icin onceden IIS
 ve ASP.net  kurmalısın. )
 IAS - Internet Authentication Service
 sw uzerindeki aaa ve radius host konfigurasyonunu 
 yaptıktan sonra en onemli kısım IAS uzerinde
 belirtigin policy.
 NAS-Port-Type matches “Async (Modem) OR Ethernet “AND”
 Windows-Groups matches “domainame\Domain Users” 
 kosullarını kullanabilirsin. Edit profile da
 Authentication kısmında ise PEAP yada smartcard or
 other certificates metodlarından ihtiyacın olanı
 seciyorsun.
 IAS'da Connection Request Processing – New Connection
 Request Policy.
 General ekranında Add ile NAS-IP-Address matches
 “switch IP”  koşulunu  belirt.
 Aynı ekranda Edit Profile diyorsun. Athentication,
 Accounting, Attiribute tabının default değerlerini
 değiştirme. 
 Advanced tabına 3 kosul ekle.
 Framed-Route – Radius Standart- IAS kurulu olan
 server’ın IP si 
 Service-Type  - Radius Standart  - Authenticate Only
 Tunnel-Server – Radius Standart – IAS kurulu olan
 server’ın IP si.
 LAN connection kısımında IAS da belirttigin
 authentication metodunu belirtirsen Domain uyesi olup
 olmamasına gore port aktif veya pasif kalacaktır.
 iyi calismalar.
 BURCU






       
---------------------------------
Be a better friend, newshound, and know-it-all with Yahoo! Mobile.  Try it now.

[Non-text portions of this message have been removed]
Received on Mon Feb 25 2008 - 11:33:35 CET

This archive was generated by hypermail 2.2.0 : Mon Feb 25 2008 - 11:33:36 CET