如何配置cisco 3560G SSH通过radius服务器认证
如果能telnet不能ssh的话试试:
line
vty
0
4
transport
input
ssh
如果telnet也不行的话就检查aaa和radius配置了
配置radius服务器:
radius-server
host
xxxx
auth-port
xxx
acct-port
xxx
aaa配置:
aaa
authentication
login
xxx
group
radius
local
确保radius服务器上有添加cisco设备的地址
如果能telnet不能ssh的话试试:
line vty 0 4
transport input ssh
如果telnet也不行的话就检查aaa和radius配置了
配置radius服务器:
radius-server host xxxx auth-port xxx acct-port xxx
aaa配置:
aaa authentication login xxx group radius local
确保radius服务器上有添加cisco设备的地址
哈哈,今天刚解决了这个问题,跟楼主分享一下答案。用Windows自带的IAS(Internet验证服务)即可,不用AD支持,可以本机验证。这个东西支持RADIUS,但是本身不提供记账功能,需要再外联第三方服务器。不过就是有的验证方法(PEAP等),需要你弄一个数字证书。这个也好办,装个IIS,然后用IIS Toolkit,里面有一个selfssl,自认证证书,设置即可。
[H3C]debugging radius packet
开启debug功能,此命令可以查看客户端与radius服务器认证过程和报文交互
下面是常见的与radius有关的查看调试命令:
显示所有或指定ISP域的配置信息
display domain [ isp-name ]
显示AAA用户连接的相关信息
display connection [ access-type { dot1x | mac-authentication } | domain isp-domain | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id]
显示本地用户相关信息
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]
显示所有或指定RADIUS方案的配置信息
display radius scheme [ radius-scheme-name ]
显示RADIUS报文的统计信息
display radius statistics
清除RADIUS协议的统计信息
reset radius statistics
radius服务器搭建参考 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器
服务器端配置: 增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。
CE交换机配置 (使用的是ce5855)
测试telnet(用户名需要带上域名)
去掉认证时的域名
华为有两个默认域,就是 domain default 和domain default_admin。这两个域是不同的:
default域为接入用户(通过NAC进行认证的用户)的缺省域。
default_admin为管理员(通过HTTP,SSH,Telnet,Terminal或FTP方式登录设备的用户)的缺省域
修改AAA命令把radius认证加到default_admin(不是default)
测试不加domain成功 (但是会导致本地认证的用户认证不过)
0条评论