如何配置cisco 3560G SSH通过radius服务器认证

如何配置cisco 3560G SSH通过radius服务器认证,第1张

如果能telnet不能ssh的话试试:

line

vty

0

4

transport

input

ssh

如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器

radius-server

host

xxxx

auth-port

xxx

acct-port

xxx

aaa配置:

aaa

authentication

login

xxx

group

radius

local

确保radius服务器上有添加cisco设备的地址

如果能telnet不能ssh的话试试:

line vty 0 4

transport input ssh

如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器:

radius-server host xxxx auth-port xxx acct-port xxx

aaa配置:

aaa authentication login xxx group radius local

确保radius服务器上有添加cisco设备的地址

哈哈,今天刚解决了这个问题,跟楼主分享一下答案。用Windows自带的IAS(Internet验证服务)即可,不用AD支持,可以本机验证。这个东西支持RADIUS,但是本身不提供记账功能,需要再外联第三方服务器。不过就是有的验证方法(PEAP等),需要你弄一个数字证书。这个也好办,装个IIS,然后用IIS Toolkit,里面有一个selfssl,自认证证书,设置即可。

[H3C]debugging radius packet

开启debug功能,此命令可以查看客户端与radius服务器认证过程和报文交互

下面是常见的与radius有关的查看调试命令:

显示所有或指定ISP域的配置信息

display domain [ isp-name ]

显示AAA用户连接的相关信息

display connection [ access-type { dot1x | mac-authentication } | domain isp-domain | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id]

显示本地用户相关信息

display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]

显示所有或指定RADIUS方案的配置信息

display radius scheme [ radius-scheme-name ]

显示RADIUS报文的统计信息

display radius statistics

清除RADIUS协议的统计信息

reset radius statistics

radius服务器搭建参考 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器

服务器端配置: 增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。

CE交换机配置 (使用的是ce5855)

测试telnet(用户名需要带上域名)

去掉认证时的域名

华为有两个默认域,就是 domain default 和domain default_admin。这两个域是不同的:

default域为接入用户(通过NAC进行认证的用户)的缺省域。

default_admin为管理员(通过HTTP,SSH,Telnet,Terminal或FTP方式登录设备的用户)的缺省域

修改AAA命令把radius认证加到default_admin(不是default)

测试不加domain成功 (但是会导致本地认证的用户认证不过)

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 如何配置cisco 3560G SSH通过radius服务器认证

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情