Configurar el RADIUS

Anuncio
Configurar el RADIUS
Descargue este capítulo
Configurar el RADIUS
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de usuario, versión 12.2SR (PDF - 6 MB)
Feedback
Contenidos
Configurar el RADIUS
Encontrar la información de la característica
Contenido
Información sobre el RADIUS
Operación de RADIUS
Atributos RADIUS
Atributos de RADIUS Patentados por el Proveedor
Atributos de Túnel RADIUS
Autenticación previa en un servidor de RADIUS
Perfil de RADIUS para la Autenticación previa DNIS o CLID
Perfil de RADIUS para la Autenticación previa del tipo de llamada
Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido
Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala
Perfil de RADIUS para la administración del módem
Perfil de RADIUS para la autenticación subsiguiente
Perfil de RADIUS para el tipo de la autenticación subsiguiente
Perfil de RADIUS para incluir el nombre de usuario
Perfil de RADIUS para la autenticación bidireccional
Perfil de RADIUS para soportar la autorización
Autenticación RADIUS
Autorización RADIUS
Contabilización RADIUS
Login-IP-host RADIUS
Prompt RADIUS
Atributos de RADIUS específicos del vendedor
Static rutas y IP Addresses en el servidor de RADIUS
Cómo configurar el RADIUS
Configurar al router a la comunicación del servidor de RADIUS
Configurar a un router para la comunicación Vendedor-propietaria del servidor de RADIUS
Configurar a un router para ampliar la información de puerto del servidor de acceso a la red
Reemplazo del atributo del NAS-puerto por el atributo de RADIUS
Configuración de Grupos de Servidores AAA
Prerrequisitos
Configurar a los Grupos de servidores AAA con Deadtime
Configurar la Autenticación previa AAA DNIS
Configuración de la Selección del Grupo de Servidores AAA Basada en DNIS
Configuración de la Autenticación Previa AAA
Configurar la Autenticación previa DNIS
Configuración de un Temporizador de Guardia
Configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS
Monitoreo y Mantenimiento de RADIUS
Ejemplos de configuración para el RADIUS
Ejemplo: Autenticación de RADIUS y autorización
Ejemplo: Autenticación de RADIUS, autorización, y estadísticas
Ejemplo: Configuración de RADIUS Vendedor-propietaria
Ejemplo: Servidor de RADIUS con los valores Servidor-específicos
Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos
Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor
Ejemplo: Grupo de servidor de RADIUS
Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA
Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS
Ejemplo: Autenticación previa AAA
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
Ejemplo: Temporizador del guardia
Referencias adicionales
Documentos Relacionados
Estándares
MIB
RFC
Asistencia Técnica
Información de la característica para configurar el RADIUS
Configurar el RADIUS
Primera publicación: De julio el 27 de 1998
Última actualización: De marzo el 25 de 2011
El sistema de seguridad RADIUS es un cliente/un sistema del servidor distribuidos que asegura las redes contra el acceso no
autorizado. En la implementación de Cisco, los clientes RADIUS se ejecutan en los Cisco Routers y envían solicitudes de
autenticación a un servidor RADIUS central que contenga toda la información de acceso de la autenticación de usuario y del
servicio de red. El RADIUS es completamente un protocolo abierto, distribuido en el formato del código fuente, que se puede
modificar para trabajar con cualquier sistema de seguridad actualmente disponible.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para configurar la sección RADIUS”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no
se requiere.
Contenido
•
Información sobre el RADIUS
•
Cómo configurar el RADIUS
•
Ejemplos de configuración para el RADIUS
•
Referencias adicionales
•
Información de la característica para configurar el RADIUS
Información sobre el RADIUS
Cisco soporta el RADIUS bajo su paradigma de la Seguridad del Authentication, Authorization, and Accounting (AAA). El
RADIUS se puede utilizar con otros protocolos de Seguridad AAA tales como TACACS+, Kerberos, y operaciones de búsqueda
del nombre de usuario local. El RADIUS se soporta en todas las Plataformas de Cisco, pero algunas características soportado
por RADIUS se ejecutan solamente en las Plataformas especificadas.
El RADIO se ha implementado en una variedad de entornos de red que requieren los altos niveles de seguridad mientras que
mantienen el acceso a la red para los usuarios remotos.
Utilice el RADIUS en los entornos de red siguientes que requieren la seguridad de acceso:
• Redes con el Access Server del proveedor múltiple, cada RADIUS que soporta. Por ejemplo, el Access Server de varios
vendedores utiliza las solas bases de datos de seguridad basadas en el servidor RADIUS. En red basada en IP con el
Access Server de los proveedores múltiples, autentican a los usuarios de dial in a través de un servidor de RADIUS que se
ha personalizado para trabajar con el sistema de seguridad del Kerberos.
• Entornos de seguridad de la red de llavero en los cuales las aplicaciones soportan el protocolo RADIUS, tal como
adentro un ambiente de acceso que utiliza un Sistema de control de acceso de la placa inteligente. En un caso, el RADIUS
se ha utilizado con los indicadores luminosos LED amarillo de la placa muestra gravedad menor de la Seguridad de Enigma
para validar a los usuarios y para conceder el acceso a los recursos de red.
• Redes ya usando el RADIUS. Usted puede agregar a un router Cisco con el RADIUS a la red. Éste pudo ser el primer
paso cuando usted hace una transición a un servidor TACACS+.
• Redes en las cuales un usuario debe acceder solamente un solo servicio. Usando el RADIUS, usted puede controlar el
acceso del usuario a un solo host, a una sola utilidad tal como Telnet, o a un solo protocolo tal como Point-to-Point Protocol
(PPP). Por ejemplo, cuando un usuario abre una sesión, el RADIUS identifica a este usuario como se comienza tener
autorización de ejecutar el PPP usando la dirección IP 10.2.3.4 y la lista de acceso definida.
• Redes que requieren la contabilidad de recursos. Usted puede utilizar a la independiente de las estadísticas RADIUS de
la autenticación de RADIUS o de la autorización. Las funciones de contabilidad de RADIUS permiten que los datos sean
enviados al comienzo y final de los servicios, indicando el periodo de los recursos (tales como tiempo, paquetes, bytes, y así
sucesivamente) usados durante la sesión. Un ISP pudo utilizar una versión basado en freeware del control de acceso a
RADIUS y de los programas informáticos de contabilidad para cubrir las necesidades de facturación y seguridad especiales.
• Redes que soportan la Autenticación previa. Usando el servidor de RADIUS en su red, usted puede configurar la
autenticación previa AAA y configurar los perfiles de la Autenticación previa. La Autenticación previa permite a los
proveedores de servicio para manejar mejor los puertos usando sus soluciones existentes RADIUS, y para manejar
eficientemente el uso de los recursos compartidos de ofrecer el service-level agreements de diferenciación.
El RADIUS no es conveniente en las situaciones siguientes de la seguridad de la red:
•
Ambientes de acceso Multiprotocol. El RADIUS no soporta los protocolos siguientes:
– Acceso Remoto del APPLETALK (ARA)
– Protocolo del Frame Control del NetBios (NBFCP)
– Interfaz asíncrona de los servicios del Netware (NASI)
– Conexiones de los ensambladores/de los desensambladores de paquete X.25 (PISTA)
• Situaciones del router a router. El RADIUS no proporciona la autenticación bidireccional. El RADIUS se puede utilizar
para autenticar a partir de un router a un router no perteneciente a Cisco si el router no perteneciente a Cisco requiere la
autenticación de RADIUS.
•
Redes usando una variedad de servicios. El RADIUS ata generalmente a un usuario a un modelo de servicio.
Las secciones siguientes proporcionan más información sobre el RADIUS:
•
Operación de RADIUS
•
Atributos RADIUS
•
Autenticación previa en un servidor de RADIUS
•
La autenticación de RADIUS, página 9
•
La autorización de RADIUS, página 9
•
Las estadísticas RADIUS, página 9
•
Login-IP-host RADIUS
•
Prompt RADIUS
•
Atributos de RADIUS específicos del vendedor
•
Static rutas y IP Addresses en el servidor de RADIUS
Operación de RADIUS
Cuando un usuario intenta iniciar sesión y autenticar a un Access Server usando el RADIUS, los pasos siguientes ocurren:
1. Se indica al usuario que ingrese el nombre de usuario y contraseña.
2. El nombre de usuario y la contraseña encriptada se envían sobre la red al servidor de RADIUS.
3. El usuario recibe una de las respuestas siguientes del servidor de RADIUS:
a. VALIDE — Autentican al usuario.
b. DESAFÍO — Un desafío es publicado por el servidor de RADIUS. El desafío recoge los datos adicionales
del usuario.
c. CONTRASEÑA del CAMBIO — Una petición es publicada por el servidor de RADIUS, pidiendo que el usuario
seleccione una nueva contraseña.
d. RECHAZO — Se indica al usuario no se autentica y que entre el nombre de usuario y contraseña de nuevo, o
se niega el acceso.
La respuesta del VALIDAR o del RECHAZO se lía con los datos adicionales que se utilizan para el EXEC o la Autorización de
red. Usted debe primero completar la autenticación de RADIUS antes de usar la autorización de RADIUS. Los datos adicionales
incluidos con los paquetes del VALIDAR o del RECHAZO consisten en el siguiente:
• Servicios que el usuario puede acceder, incluyendo las conexiones tales como Telnet, rlogin, o LAT, y servicios tales
como servicios PPP, SLIP, o del EXEC.
•
Parámetros de la conexión, incluyendo el host o el dirección IP del cliente, lista de acceso, y descansos del usuario.
Atributos RADIUS
El servidor de acceso a la red monitorea la autorización de RADIUS y las funciones de contabilidad definidas por los atributos
de RADIUS en cada perfil del usuario. Para más información sobre los atributos de RADIUS, vea que la “descripción y el
RADIUS IETF de los atributos de RADIUS atribuye” el módulo.
Esta sección contiene las siguientes secciones:
•
Atributos de RADIUS Patentados por el Proveedor
•
Atributos de Túnel RADIUS
Atributos de RADIUS Patentados por el Proveedor
Un estándar de borrador IETF para el RADIUS especifica un método para comunicar la información vendedor-propietaria entre
el servidor de acceso a la red y el servidor de RADIUS. Algunos vendedores, sin embargo, han ampliado el atributo de RADIUS
fijado en una forma única. El software de Cisco IOS soporta un subconjunto de atributos de RADIUS patentados por el
proveedor.
Atributos de Túnel RADIUS
El RADIO es un protocolo AAA del servidor de seguridad desarrollado originalmente por los pares del valor de atributo de las
aplicaciones del RADIO de Livingston, Inc. (AV) para comunicar la información entre el servidor de seguridad y el servidor de
acceso a la red. El RFC 2138 y el RFC 2139 describen la funcionalidad básica del RADIUS y el conjunto original de las pares
AV de la norma de IETF usadas para enviar la información AAA. Dos normas de IETF del proyecto, los “atributos de RADIUS
para las modificaciones del soporte del Tunnel Protocol” y “de las estadísticas RADIUS para el soporte del Tunnel Protocol,”
amplían el conjunto definido por IETF de las pares AV para incluir los atributos específicos a los VPN; estos atributos se utilizan
para llevar la información del Tunelización entre el servidor de RADIUS y el iniciador del túnel. El RFC 2865 y el RFC 2868
amplían el conjunto definido por IETF de las pares AV para incluir los atributos específicos al Tunelización obligatorio en los
VPN permitiendo que el usuario especifique los nombres de la autenticación para el servidor de acceso a la red y el servidor de
RADIUS.
Los routeres Cisco y el Access Server soportan los nuevos atributos del túnel del Virtual Private Dialup Network (VPDN) de la
norma de IETF RADIUS. Para más información, vea las tecnologías de marcación guía de configuración del Cisco IOS y la guía
de configuración de VPDN del Cisco IOS.
Vea también los ejemplos de configuración siguientes:
•
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
Autenticación previa en un servidor de RADIUS
Los atributos de RADIUS se configuran en los perfiles de la Autenticación previa RADIUS para especificar el comportamiento de
la Autenticación previa. Además de configurar la Autenticación previa en su router Cisco, usted debe configurar los perfiles de la
Autenticación previa en el servidor de RADIUS.
•
Perfil de RADIUS para la Autenticación previa DNIS o CLID
•
Perfil de RADIUS para la Autenticación previa del tipo de llamada
•
Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido
•
Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala
•
Perfil de RADIUS para la administración del módem
•
Perfil de RADIUS para la autenticación subsiguiente
•
Perfil de RADIUS para el tipo de la autenticación subsiguiente
•
Perfil de RADIUS para incluir el nombre de usuario
•
Perfil de RADIUS para la autenticación bidireccional
•
Perfil de RADIUS para soportar la autorización
Perfil de RADIUS para la Autenticación previa DNIS o CLID
Para configurar el perfil de la Autenticación previa RADIUS, utilizar el número DNIS o CLID como el nombre de usuario, y utilizar
la contraseña definida en dnis u clid ordenar como la contraseña.
Observeel perfil de la Autenticación previa debe tener “saliente” como el tipo de servicio porque la contraseña se predefine en
el NAS. Configurar el perfil de autenticación previa de este modo evita que los usuarios intenten acceder al NAS con el
nombre de usuario del número DNIS, número CLID o tipo de llamada y una contraseña obvia. Incluyen al tipo de
servicio “saliente” también en el paquete access-request enviado al servidor de RADIUS.
Perfil de RADIUS para la Autenticación previa del tipo de llamada
Para configurar el perfil de la Autenticación previa RADIUS, utilizar la cadena del tipo de llamada como el nombre de usuario, y
utilizar la contraseña definida en ctype el comando como la contraseña. El cuadro 1 enumera las cadenas del tipo de llamada
que se pueden utilizar en el perfil de la Autenticación previa.
Cadena del tipo de llamada Capacidades portadoras ISDN
digital
Digital digital, restricto sin restricción.
discurso
Discurso, audio del kHz 3,1, audio del kHz 7.
Observeesto es el único tipo de llamada disponible para CAS.
v.110
Cualquier cosa con la capa de la información del usuario de V.110.
v.120
Cualquier cosa con la capa de la información del usuario de V.120.
Observeel perfil de la Autenticación previa debe tener “saliente” como el tipo de servicio porque la contraseña se predefine en
el NAS. Configurar el perfil de autenticación previa de este modo evita que los usuarios intenten acceder al NAS con el
nombre de usuario del número DNIS, número CLID o tipo de llamada y una contraseña obvia. Incluyen en el paquete
access-request enviado al servidor de RADIUS y debe ser un elemento al tipo de servicio “saliente” también del
enregistramiento si los soportes del servidor de RADIUS se registran los elementos.
Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido
El servicio repetido permite que los usuarios de la red remota tales como telecommuters marquen adentro al NAS sin la carga.
Cuando se requiere el servicio repetido, el NAS cuelga para arriba la llamada actual y marca la parte posterior del llamador.
Cuando el NAS realiza el servicio repetido, sólo la información para la conexión saliente es aplicada. El resto de los atributos del
mensaje del access-accept de la Autenticación previa se desecha.
Observeel IP Address de destino no se requiere para ser vuelto del servidor de RADIUS.
El siguiente ejemplo muestra una configuración del perfil de RADIUS con un número de devolución de llamada de 555-0101 y el
tipo de servicio fijado a saliente. Cisco-avpair = “preauth: el send-name=<string>” utiliza la cadena el "user1" y Cisco-avpair =
“preauth: el send-secret=<string>” utiliza la contraseña “Cisco.”
5550101 password = "cisco", Service-Type = Outbound
Service-Type = Callback-Framed
Framed-Protocol = PPP,
Dialback-No = "5550119"
Class = "ISP12"
cisco-avpair = "preauth:send-name=user1"
cisco-avpair = "preauth:send-secret=cisco"
Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala
El siguiente ejemplo protege contra accidentalmente la llamada de un número de teléfono válido pero acceder al router
incorrecto proporcionando al nombre del router remoto, para el uso en el marcado de salida en gran escala:
5550101 password = "PASSWORD1", Service-Type = Outbound
Service-Type = Callback-Framed
Framed-Protocol = PPP,
Dialback-No = "5550190"
Class = "ISP12"
cisco-avpair = "preauth:send-name=user1"
cisco-avpair = "preauth:send-secret=PASSWORD1"
cisco-avpair = "preauth:remote-name=Router2"
Perfil de RADIUS para la administración del módem
Cuando se utiliza el DNIS, el CLID, o la Autenticación previa del tipo de llamada, la respuesta afirmativa del servidor de RADIUS
puede incluir una cadena del módem para la administración del módem en el NAS con VSA 26. La administración del módem
VSA tiene el sintaxis siguiente:
cisco-avpair = "preauth:modem-service=modem min-speed <x> max-speed <y>
modulation <z> error-correction <a> compression <b>"
El cuadro 2 enumera los elementos de la cadena de la administración del módem dentro del VSA.
Comando
Argumento
minuto-velocidad
<de 300 a 56.000>, cualquiera
MAX-velocidad
<de 300 a 56.000>, cualquiera
modulación
K56Flex, v22bis, v32bis, v34, v90, ningunos
corrección de errores
lapm, mnp4
compresión
mnp5, v42bis
Cuando la cadena de la administración del módem se recibe del servidor de RADIUS bajo la forma de VSA, la información se
pasa al Cisco IOS Software y se aplica sobre por llamada una base. Los módems del agrupamiento de canales ISDN de módem
(MICA) proporcionan un canal de control a través del cual los mensajes se puedan enviar durante el tiempo de configuración de
llamada. Por lo tanto, esta característica de la administración del módem se soporta solamente con los módems MICA y más
nuevas Tecnologías. Esta característica no se soporta con los módems Microcom.
Perfil de RADIUS para la autenticación subsiguiente
Si la Autenticación previa pasa, usted puede utilizar el atributo de RADIUS vendedor-propietario 201 (Requerir-auth) en el perfil
de la Autenticación previa para determinar si la autenticación subsiguiente debe ser realizada. Si el atributo 201, vuelto en el
mensaje del access-accept, tiene un valor de 0, después la autenticación subsiguiente no será realizada. Si el atributo 201 tiene
un valor de 1, después la autenticación subsiguiente será realizada como de costumbre.
El atributo 201 tiene el sintaxis siguiente:
cisco-avpair = "preauth:auth-required=<n>"
donde el <>n tiene el mismo rango del valor que el atributo 201 (es decir, 0 o 1).
Si el atributo 201 falta en el perfil de la Autenticación previa, después un valor de 1 se asume, y se realiza la autenticación
subsiguiente.
Observepara realizar la autenticación subsiguiente, usted debe configurar un perfil de usuario común además de un perfil de la
Autenticación previa.
Perfil de RADIUS para el tipo de la autenticación subsiguiente
Si usted ha especificado la autenticación subsiguiente en el perfil de la Autenticación previa, usted debe también especificar los
tipos de autenticación que se utilizarán para la autenticación subsiguiente. Para especificar los tipos de autenticación permitidos
en la autenticación subsiguiente, utilice el VSA siguiente:
cisco-avpair = "preauth:auth-type=<string>"
El cuadro 3 enumera los valores permitidos para el elementostring del <>.
String
(cadena)
Descripción
grieta
Requiere el nombre de usuario y contraseña del Challenge Handshake
Authentication Protocol (CHAP) para la autenticación PPP.
ms-chap
Requiere el nombre de usuario y contraseña del MS-CHAP para la autenticación
PPP.
pap
Requiere el nombre de usuario y contraseña del protocolo password authentication
(PAP) para la autenticación PPP.
Para especificar que se permite a los tipos de la autenticación múltiple, usted puede configurar más de un caso de este VSA en
el perfil de la Autenticación previa. La secuencia del tipo de autenticación VSA en el perfil de la Autenticación previa es
significativa porque especifica la orden de los tipos de autenticación que se utilizarán en la negociación PPP.
Este VSA es un atributo de usuario y substituye la lista del tipo de autenticación en ppp authentication el comando interface
configuration.
Notausted debe utilizar este VSA solamente si se requiere la autenticación subsiguiente porque especifica el tipo de
autenticación para la autenticación subsiguiente.
Perfil de RADIUS para incluir el nombre de usuario
Si solamente la Autenticación previa se utiliza para autenticar una llamada, el NAS podría faltar un nombre de usuario cuando
saca a colación la llamada. El RADIUS puede proporcionar un nombre de usuario para que el NAS utilice con el atributo de
RADIUS 1 (username) o con un VSA vuelto en el paquete access-accept. El VSA para especificar el nombre de usuario tiene el
sintaxis siguiente:
cisco-avpair = "preauth:username=<string>"
Si no se especifica ningún nombre de usuario, utilizan el número DNIS, el número CLID, o al tipo de llamada, dependiendo del
comando más reciente de la Autenticación previa se ha configurado que (por ejemplo, si clid era el comando más reciente de la
Autenticación previa configurado, el número CLID será utilizado como el nombre de usuario).
Si la autenticación subsiguiente se utiliza para autenticar una llamada, pudo haber dos nombres de usuario: uno proporcionado
por el RADIUS y uno proporcionó por el usuario. En este caso, el nombre de usuario proporcionado por el usuario reemplaza el
que está contenido en el perfil de la Autenticación previa RADIUS; el nombre de usuario proporcionado por el usuario se utiliza
para la autenticación y las estadísticas.
Perfil de RADIUS para la autenticación bidireccional
En el caso de la autenticación bidireccional, el dispositivo de interconexión de redes de llamada necesitará autenticar el NAS. El
nombre de usuario PAP y la contraseña o el nombre de usuario y contraseña de la GRIETA no necesitan ser configurados
localmente en el NAS. En lugar, el nombre de usuario y contraseña se puede incluir en los mensajes del access-accept para la
Autenticación previa.
Observe ppp authentication el comando debe ser configurado con radius el comando.
Para solicitar el PAP, no configure ppp pap sent-name password el comando en la interfaz. Preauth VSA “: send-name" y
"preauth: el enviar-secreto” será utilizado como el nombre de usuario PAP y la contraseña PAP para la autenticación de salida.
Para la GRIETA, “preauth: el enviar-nombre” será utilizado no sólo para la autenticación de salida, pero también para la
autenticación entrante. Para una caja entrante de la GRIETA, el NAS utilizará el nombre definido en el “preauth: enviar-nombre”
en el paquete Challenge al dispositivo de interconexión de redes del llamador. Para una caja saliente de la GRIETA, ambo
“preauth: send-name" y "preauth: el enviar-secreto” será utilizado en el paquete de respuesta.
El siguiente ejemplo muestra una configuración que especifique la autenticación bidireccional:
5550101 password = "PASSWORD2", Service-Type = Outbound
Service-Type = Framed-User
cisco-avpair = "preauth:auth-required=1"
cisco-avpair = "preauth:auth-type=pap"
cisco-avpair = "preauth:send-name=user1"
cisco-avpair = "preauth:send-secret=PASSWORD2"
class = "<some class>"
La autenticación bidireccionalde la nota no trabaja cuando se habilita la distribución de recursos.
Perfil de RADIUS para soportar la autorización
Si solamente se configura la Autenticación previa, después la autenticación subsiguiente será desviada. Observe que porque el
nombre de usuario y contraseña no está disponible, la autorización también será desviada. Sin embargo, usted puede incluir los
atributos de la autorización en el perfil de la Autenticación previa para aplicar los atributos de usuario y para evitarlos tener que
volver posteriormente al RADIUS para la autorización. Para iniciar el proceso de la autorización, usted debe también configurar
aaa authorization network el comando en el NAS.
Usted puede configurar los atributos de la autorización en el perfil de la Autenticación previa con una excepción: el atributo de
tipo de servicio (atributo 6). El atributo de tipo de servicio se debe convertir a un VSA en el perfil de la Autenticación previa. Este
VSA tiene el sintaxis siguiente:
cisco-avpair = "preauth:service-type=<n>"
donde están uno el <> de los valores estándar del RFC 2865 para el atributo 6.
Observesi autenticación subsiguiente se requiere, los atributos de la autorización en el perfil de la Autenticación previa no son
aplicados.
Autenticación RADIUS
Después de que usted haya identificado al servidor de RADIUS y haya definido la clave de la autenticación de RADIUS, usted
debe definir las listas de métodos para la autenticación de RADIUS. Porque la autenticación de RADIUS se facilita con el AAA,
usted debe ingresar aaa authentication el comando, especificando el RADIO como el método de autentificación.
Autorización RADIUS
La autorización AAA le deja fijar los parámetros que restringen un acceso de usuario a la red. La autorización usando el
RADIUS proporciona un método para el control de acceso remoto, incluyendo la autorización única o la autorización para cada
servicio, por usuario lista y perfil de la cuenta, soporte del grupo de usuarios, y soporte del IP, del IPX, del Acceso Remoto del
APPLETALK (ARA), y de Telnet. Porque la autorización de RADIUS se facilita con el AAA, usted debe publicar aaa
authorization el comando, especificando el RADIUS como el método de autorización.
Contabilización RADIUS
La característica de contabilidad AAA le permite para seguir a los usuarios de servicios está accediendo y la cantidad de
recursos de red que están consumiendo. Porque las estadísticas RADIUS se facilitan con el AAA, usted debe publicar aaa
accounting el comando, especificando el RADIUS como el método de contabilidad.
Login-IP-host RADIUS
Para permitir al servidor de acceso a la red para intentar más de un login reciba al intentar conectar a un usuario de dial in,
usted puede ingresar tanto como tres entradas del Login-IP-host en el perfil de usuario en el servidor de RADIUS. El siguiente
ejemplo muestra que tres casos del Login-IP-host se han configurado para el user1 del usuario, y que TCP-claro será utilizado
para la conexión:
user1 Password = xyz
Service-Type = Login,
Login-Service = TCP-Clear,
Login-IP-Host = 10.0.0.0,
Login-IP-Host = 10.2.2.2,
Login-IP-Host = 10.255.255.255,
Login-TCP-Port = 23
La orden en la cual se ingresan los hosts es la orden en la cual se intentan. Utilice ip tcp synwait-time el comando de fijar el
número de segundos que el NAS espere antes de intentar conectar con el host siguiente en la lista; el valor por defecto es 30
segundos.
Su servidor de RADIUS pudo permitir más de tres entradas del Login-IP-host; sin embargo, el servidor de acceso a la red
soporta solamente tres hosts en los paquetes access-accepts.
Prompt RADIUS
Para controlar si los paquetes del acceso-desafío de las respuestas del usuario están producidos eco a la pantalla, usted puede
configurar el atributo pronto en el perfil del usuario en el servidor de RADIUS. Este atributo se incluye solamente en los
paquetes del Acceso-desafío. El siguiente ejemplo muestra la Ninguno-generación de eco fijada atributo pronto, que evita que
las respuestas del usuario produzcan eco:
user1 Password = xyz
Service-Type = Login,
Login-Service = Telnet,
Prompt = No-Echo,
Login-IP-Host = 172.31.255.255
Para permitir que las respuestas del usuario produzcan eco, fije el atributo para producir eco. Si el atributo pronto no se incluye
en el perfil del usuario, las respuestas se producen eco por abandono.
Este atributo reemplaza el comportamiento radius-server challenge-noecho del comando configurado en el Access Server.
Por ejemplo, si el Access Server se configura para suprimir producir eco, solamente el perfil de usuario individual permite el
producir eco, después se producen eco las respuestas del usuario.
Observesi usted quieren utilizar el atributo pronto, su servidor de RADIUS debe ser configurado para soportar los paquetes del
Acceso-desafío.
Atributos de RADIUS específicos del vendedor
El estándar de borrador IETF especifica un método para comunicar la información específica del vendedor entre el servidor de
acceso a la red y el servidor de RADIUS usando el atributo específico del proveedor (atributo 26). Los atributos específicos del
proveedor (VSA) permiten que los vendedores soporten sus propios atributos extendidos no convenientes para el uso general.
La implementación del RADIUS de Cisco soporta una Opción específica del proveedor usando el formato recomendado en la
especificación. El Vendor ID de Cisco es 9, y la opción soportada tiene el vendedor-tipo 1, que se nombra “Cisco-avpair.” El
valor es una cadena del formato siguiente:
protocol : attribute sep value *
El “protocolo” es un valor del atributo del “protocolo” de Cisco para un tipo determinado de autorización; los protocolos que
pueden ser utilizados incluyen el IP, el Intercambio de paquetes entre redes (IPX), el VPDN, el VoIP, el Secure Shell (SSH), el
Resource Reservation Protocol (RSVP), el procesador de interfaz serial (SORBO), AirNet, y saliente. El “atributo” y el “valor” son
pares AV apropiadas definidas en la especificación de Cisco TACACS+, y “sept” está “=” para los atributos obligatorios y “*”
para los atributos opcionales. Esto permite que el Conjunto completo de las características disponibles para que autorización
TACACS+ también sea utilizado para el RADIUS.
Por ejemplo, las pares AV siguientes causan el IP Address Nombrado múltiple de Cisco “reúnen” la característica que se
activará durante la autorización IP (durante la asignación de dirección del Protocolo de control de Protocolo de Internet PPP
(IPCP)):
cisco-avpair= "ip:addr-pool=first"
Si usted inserta “*”, IP de las pares AV un “: el addr-pool=first” llega a ser opcional. Observe que cualquier par AV se puede
hacer opcional.
cisco-avpair= "ip:addr-pool*first"
El siguiente ejemplo muestra cómo causar a un usuario que abre una sesión de un servidor de acceso a la red para tener
acceso inmediato a los comandos exec:
cisco-avpair= "shell:priv-lvl=15"
Los otros vendedores tienen su propio vendedor único ID, las opciones, y VSA asociados.
Static rutas y IP Addresses en el servidor de RADIUS
Algunas implementaciones vendedor-propietarias del RADIUS dejaron al usuario definir las Static rutas y las definiciones de la
agrupación IP en el servidor de RADIUS en vez en de cada Access Server de la red individual en la red. Cada servidor de
acceso a la red entonces pregunta al servidor de RADIUS para la Static ruta y la información de la agrupación IP.
Para tener el router Cisco o el Access Server pregunte al servidor de RADIUS para las Static rutas y las definiciones de la
agrupación IP cuando el dispositivo empieza para arriba, utilizan radius-server configuration-nas el comando.
Cómo configurar el RADIUS
Para configurar el RADIUS en su router Cisco o Access Server, usted debe realizar las tareas siguientes:
• Utilice aaa new-model el comando global configuration de habilitar el AAA. El AAA debe ser configurado si usted planea
utilizar el RADIUS.
• Utilice aaa authentication el comando global configuration de definir las listas de métodos para la autenticación de
RADIUS. Para más información sobre usar aaa authentication el comando, vea “configurando el módulo de la autenticación
”.
• Uso line y interface comandos de habilitar las listas de métodos definidas que se utilizarán. Para más información, vea “
configurando el módulo de la autenticación”.
Las tareas de configuración siguientes son opcionales:
• Usted puede utilizar aaa group server el comando de agrupar los hosts seleccionados RADIUS para los servicios
específicos. Para más información sobre usar aaa group server el comando, vea “configurando la sección a los Grupos de
servidores AAA”.
• Usted puede utilizar aaa dnis map el comando de seleccionar a los grupos de servidor de RADIUS basados en el
número del Dialed Number Identification Service (DNIS). Antes de que usted utilice este comando, usted debe definir a los
grupos de servidor de RADIUS usando aaa group server el comando. Para más información sobre usar aaa dnis map el
comando, vea “configurando la selección de Grupo de servidores AAA basada en la sección DNIS”.
• Usted puede utilizar aaa authorization el comando global configuration de autorizar las funciones específicas del
usuario. Para más información sobre usar aaa authorization el comando, vea “configurando el módulo de la autorización”.
• Usted puede utilizar aaa accounting el comando de habilitar explicar las conexiones RADIUS. Para más información
sobre usar aaa accounting el comando, vea “configurando el módulo de las estadísticas”.
• Usted puede utilizar dialer aaa el comando interface configuration de crear los perfiles del sitio remoto que contienen los
atributos de la llamada saliente en el servidor de AAA. Para más información sobre usar dialer aaa el comando, vea que
“configurar el sufijo y la contraseña en el acceso a RADIUS pide” la sección.
Esta sección describe cómo configurar RADIUS para la autenticación, autorización, y las estadísticas en su red, e incluye las
secciones siguientes:
•
Configurando al router a la comunicación del servidor de RADIUS (requerida)
•
Configurando a un router para la comunicación Vendedor-propietaria del servidor de RADIUS (opcional)
•
Configurando a un router para ampliar la información de puerto del servidor de acceso a la red (opcional)
•
Substituyendo el atributo del NAS-puerto por el atributo de RADIUS (opcional)
•
Configurando a los Grupos de servidores AAA (opcionales)
•
Configurando a los Grupos de servidores AAA con Deadtime (opcional)
•
Configurando la Autenticación previa AAA DNIS (opcional)
•
Configurando la selección de Grupo de servidores AAA basada en el DNIS (opcional)
•
Configurando la autenticación previa AAA (opcional)
•
Configurando la Autenticación previa DNIS (opcional)
•
Configurando un temporizador del guardia (opcional)
•
Configurando el sufijo y la contraseña en las peticiones del acceso a RADIUS (opcionales)
•
Monitoreando y mantener el RADIUS (opcional)
Por los ejemplos de la configuración de RADIUS usando los comandos en este módulo, refiera a la sección de la sección los
“ejemplos de configuración para RADIUS”.
Configurar al router a la comunicación del servidor de RADIUS
El host RADIUS es normalmente un software de servidor de RADIUS corriente del sistema multiusos de Cisco (CiscoSecure
ACS), de Livingston, Merit, de Microsoft, o de otro proveedor de software. Configurar al router a la comunicación del servidor de
RADIUS puede tener varios componentes:
•
Nombre de host o dirección IP
•
Puerto destino de la autenticación
•
Puerto destino que considera
•
Período de agotamiento del tiempo de espera
•
Valor de la retransmisión
•
Cadena dominante
Los servidores de seguridad RADIUS se identifican en base de su nombre de host o dirección IP, nombre de host y los números
del puerto específicos UDP, o los números del puerto del dirección IP y específicos UDP. La combinación de la dirección IP y de
número del puerto UDP crea un Identificador único, permitiendo que diversos puertos sean definidos individualmente como
hosts RADIUS que proporcionan un servicio específico AAA. Es decir este Identificador único habilita los pedidos de RADIUS de
ser enviado a los puertos múltiples UDP en un servidor en la misma dirección IP. Si dos entradas diferentes de host en el mismo
servidor RADIUS se configuran para el mismo servicio -por ejemplo, contabilización- la segunda entrada de host configurada
actúa como reserva de la primera. Si la primera entrada de host no puede proporcionar los servicios de las estadísticas, el
servidor de acceso a la red intentará la segunda entrada de host configurada en el mismo dispositivo para los servicios que
consideran. (Las entradas de host RADIUS se probarán en el orden en el que están configuradas.)
Un servidor de RADIUS y un router Cisco utilizan una cadena de texto del secreto compartido para cifrar las contraseñas y para
intercambiar las respuestas. Para configurar el RADIUS para utilizar los comandos security AAA, usted debe especificar el host
que ejecuta la daemon de servidor de RADIUS y una cadena (dominante) secreta del texto que comparta con el router.
El descanso, la retransmisión, y los valores de clave de encripción son configurables global para todos los servidores de
RADIUS, sobre una base del por-servidor o en una cierta combinación de configuraciones globales y del por-servidor. Para
aplicar estas configuraciones global a todos los servidores de RADIUS que comunican con el router, utilice los tres comandos
global únicos: radius-server timeout radius-server retransmit, y radius-server key. Para aplicar estos valores en un servidor
de RADIUS específico, utilice radius-server host el comando.
Notausted puede configurar el descanso global y del por-servidor, la retransmisión, y los comandos del valor de la clave
simultáneamente en el mismo Access Server de la red de Cisco. Si las funciones globales y del por-servidor se configuran
en un router, el temporizador del por-servidor, la retransmisión, y los comandos del valor de la clave reemplazan el
temporizador global, la retransmisión, y los comandos del valor de la clave.
Para configurar al router a la comunicación del servidor de RADIUS del servidor, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. radius-server host {hostname | ip-address} []auth-port port-numberdel []acct-port port-numberdel []timeout
secondsdel []retransmit retriesdel []key string[alias {hostname | ip-address}]
4. radius-server key {0 string | 7 string | string}
5. radius-server retransmit retries
6. radius-server timeout seconds
7. radius-server deadtime minutes
8. exit
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
• Ingrese su contraseña si se le pide que
lo haga.
Example:
Router# configure terminal
Paso radius-server host {hostname |
ip-address} [auth-port port3
Especifica la dirección IP o el nombre de host
del host del servidor RADIUS remoto y asigna
number] [acct-port port-number] los números de puerto de destino de la
[timeout seconds] [retransmit
autenticación y de estadísticas.
retries] [key string] [alias {
hostname | ip-address}]
Example:
Router(config)# radius-server
host 10.45.1.2
Observeen este paso, el descanso,
retransmisión, y los valores de clave de
encripción son configuración sobre una
base del por-servidor.
• Utilice auth-port port-number los pares
del palabra-argumento para configurar un
puerto específico UDP en este servidor de
RADIUS que se utilizará solamente para la
autenticación.
• Utilice acct-port port-number los pares
del palabra-argumento para configurar un
puerto específico UDP en este servidor de
RADIUS que se utilizará solamente para
considerar.
• Utilice alias la palabra clave para
configurar hasta ocho IP Addresses
múltiples para el uso al referir a los
servidores de RADIUS.
• Para configurar al servidor de acceso a
la red para reconocer más de una entrada
de host se asoció a una sola dirección IP,
relanzan este comando tantas veces
cuanto sea necesario, aseegurandose que
cada número del puerto UDP es diferente.
Fije el descanso, retransmítalo, y los
valores de clave de encripción para utilizar
con el host específico RADIUS.
• Si no se fija ningún descanso, se utiliza
el valor global; si no, ingrese un valor en el
rango a partir de la 1 a 1000. Si ningún
retransmita se fija se utiliza el valor, el
valor global; si no, ingrese un valor en el
rango a partir de la 1 a 1000. Si no se
especifica ninguna cadena dominante, se
utiliza el valor global.
Observela clave es una cadena de
texto que debe hacer juego la clave de
encripción usada en el servidor de
RADIUS. Configure siempre la clave
como el elemento más reciente
radius-server host de la sintaxis de
los comandos porque se ignoran los
espacios principales, pero los
espacios dentro y en del final de la
clave se utilizan. Si usted utiliza los
espacios en su clave, no incluya la
clave en las comillas a menos que las
comillas ellos mismos sean parte de
la clave.
Paso radius-server key {0 string | 7 Especifica la cadena de texto del secreto
string | string}
4
compartido usada entre el router y un servidor
de RADIUS.
Example:
Router(config)# radius-server
key myRaDIUSpassword
Observeen este paso, el valor de clave
de encripción se configura global para
todos los servidores de RADIUS.
•
Utilice 0 string la opción para
configurar un secreto compartido
unencrypted. Utilice 7 string la opción para
configurar un secreto compartido cifrado.
Paso radius-server retransmit
retries
5
Example:
Router(config)# radius-server
retransmit 25
Paso radius-server timeout seconds
6
Example:
Router(config)# radius-server
timeout 6
Especifica cuántas veces transmite el router
cada pedido de RADIUS al servidor antes de
abandonar (el valor por defecto es 3).
Observeen este paso, el valor de la
retransmisión se configura global para
todos los servidores de RADIUS.
Especifica por cuántos segundos espera un
router una contestación a un pedido de
RADIUS antes de retransmitir la petición.
Observeen este paso, el valor de
agotamiento del tiempo se configura
global para todos los servidores de
RADIUS.
Paso radius-server deadtime minutes
7
Especifica por cuántos minutos los pedidos la
autenticación de RADIUS pasa un servidor de
RADIUS que no está respondiendo a los
pedidos de autenticación encima.
Paso exit
8
Vuelve al modo EXEC privilegiado.
Example:Example:
Router(config)# radius-server
deadtime 5
Example:
Router(config)# exit
Configurar a un router para la comunicación Vendedor-propietaria del servidor de RADIUS
Aunque un estándar de borrador IETF para el RADIUS especifique un método para comunicar la información vendedorpropietaria entre el servidor de acceso a la red y el servidor de RADIUS, algunos vendedores han ampliado el atributo de
RADIUS fijado en una forma única. El software de Cisco IOS soporta un subconjunto de atributos de RADIUS patentados por el
proveedor.
Para configurar el RADIUS (si es vendedor-propietario o IETF en conformidad con el borrador), usted debe especificar el host
que funciona con la daemon de servidor de RADIUS y la cadena de texto secreta que comparte con el dispositivo de Cisco.
Usted debe especificar el host RADIUS y la cadena de texto del secreto usando radius-server los comandos. Para identificar
que el servidor de RADIUS está utilizando una implementación vendedor-propietaria del RADIUS, utilice radius-server host
non-standard el comando. los atributos Vendedor-propietarios no serán soportados a menos que usted utilice radius-server
host non-standard el comando.
Para configurar a un router para la comunicación vendedor-propietaria del servidor de RADIUS, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. radius-server vsa send [accounting | authentication]
4. radius-server host{hostname | ip-address} non-standard
5. radius-server key{0 string | 7 string | string}
6. exit
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que
lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso radius-server vsa send [
accounting | authentication]
3
Permite al servidor de acceso a la red para
reconocer y para utilizar los VSA según lo
definido por el atributo 26 RADIUS IETF.
Example:
Router# configure terminal
Example:
Router(config)# radius-server
vsa send
Paso radius-server host {hostname
| ip-address} non-standard
4
Especifica la dirección IP o el nombre de host
del host del servidor RADIUS remoto y los
identifica que está utilizando una
Example:
Router(config)# radius-server implementación vendedor-propietaria del
RADIUS.
host host1 non-standard
Paso radius-server key {0 string | Especifica la cadena de texto del secreto
7 string | string}
5
compartido usada entre el router y el servidor
de RADIUS vendedor-propietario.
Example:
Router(config)# radius-server
key myRaDIUSpassword
Paso exit
6
• El router y el servidor de RADIUS
utilizan esta cadena de texto para cifrar las
contraseñas y para intercambiar las
respuestas.
Vuelve al modo EXEC privilegiado.
Example:
Router(config)# exit
Configurar a un router para ampliar la información de puerto del servidor de acceso a la red
Hay algunas situaciones cuando el PPP o la autenticación de inicio de sesión ocurre en una interfaz que sea diferente de la
interfaz en la cual la llamada sí mismo viene. Por ejemplo, en una llamada ISDN de V.120, el login o la autenticación PPP
ocurre en una interfaz asincrónica virtual “ttt”, pero la llamada sí mismo ocurre en uno de los canales de la interfaz de ISDN.
radius-server attribute nas-port extended Las configuraciones RADIUS del comando para ampliar los tamaños del atributo
del NAS-puerto (campo del atributo RADIUS IETF 5) a 32 bits. Los 16 bits superiores del atributo del NAS-puerto visualizan el
tipo y el número de la interfaz que controla; los 16 bits más bajos indican la interfaz que experimenta la autenticación.
Para configurar a un router para ampliar la información del NAS-puerto, realice la tarea siguiente.
Observe radius-server attribute nas-port format el comando substituye radius-server extended-portnames el comando y
radius-server attribute nas-port extended el comando.
PASOS SUMARIOS
1. enable
2. configure terminal
3. radius-server configuration-nas
4. radius-server attribute nas-port extended
5. exit
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure terminal
Paso radius-server configure-nas (Opcional) dice el router Cisco o el Access Server
3
preguntar al servidor de RADIUS para las Static
Example:
rutas y las definiciones de la agrupación IP usadas
Router(config)# radiusen su dominio.
server configure-nas
Observeporque radius-server configurenas se utiliza el comando cuando el router
Cisco empieza para arriba, él no tomará el
efecto hasta que usted publique copy
system:running config nvram:startupconfig un comando.
Paso radius-server attribute
nas-port format
4
Example:
Router(config)# radiusserver attribute nas-port
format
Paso exit
5
Example:
Router(config)# exit
Amplía los tamaños del atributo del NAS-puerto a
partir del 16 a 32 bits para visualizar la información
extendida de la interfaz.
Vuelve al modo EXEC privilegiado.
Reemplazo del atributo del NAS-puerto por el atributo de RADIUS
En las Plataformas con las interfaces múltiples (puertos) por el slot, la implementación del RADIUS de Cisco no proporcionará
un atributo único del NAS-puerto que permita distinguir entre las interfaces. Por ejemplo, si un PRI dual está en el slot1, las
llamadas en Serial1/0:1 y Serial1/1:1 aparecerán como NAS-puerto = 20101. Esto está debido a la limitación de 16 bits de los
tamaños de campo asociada al atributo del NAS-puerto RADIUS IETF. En este caso, substituya el atributo del NAS-puerto por
un VSA (atributo 26 RADIUS IETF). El Vendor ID de Cisco es 9, y el atributo del Cisco-NAS-puerto es el subtipo 2. VSA puede
ser girado ingresando radius-server vsa send el comando. La información de puerto en este atributo se proporciona y se
configura usando aaa nas port extended el comando.
El atributo estándar del NAS-puerto (atributo RADIUS EL IETF 5) será enviado. Si usted no quisiera que esta información fuera
enviada, usted puede suprimirla usando no radius-server attribute nas-port el comando. Después de que se configure este
comando, el atributo estándar del NAS-puerto será enviado no más.
Para substituir el atributo del NAS-puerto por el atributo 26 RADIUS IETF y visualizar la información extendida del campo,
realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. radius-server vsa send [accounting | authentication]
4. aaa nas port extended
5. exit
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
• Ingrese su contraseña si se le pide que
lo haga.
Example:
Router# configure terminal
Paso radius-server vsa send [
accounting | authentication]
3
Permite al servidor de acceso a la red para
reconocer y para utilizar los atributos
específicos del proveedor según lo definido por
Example:
Router(config)# radius-server el atributo 26 RADIUS IETF.
vsa send
Paso aaa nas port extended
4
Amplía los tamaños del campo del NAS-puerto
VSA a partir del 16 a 32 bits para visualizar la
información extendida de la interfaz.
Paso exit
5
Vuelve al modo EXEC privilegiado.
Example:
Router(config)# aaa nas port
extended
Example:
Router(config)# exit
Configuración de Grupos de Servidores AAA
Configurar el router para utilizar grupos de servidores AAA proporciona una manera de agrupar hosts de servidor existentes.
Esto le permite seleccionar un subconjunto de los hosts servidores configurados y utilizarlos para un determinado servicio. Un
grupo de servidores se utiliza conjuntamente con una lista global de host de servidor. El grupo de servidores enumera las
direcciones IP de los hosts servidores seleccionados.
Los grupos de servidores pueden también incluir las entradas del host múltiple para el mismo servidor, mientras cada entrada
tenga un Identificador único. La combinación de una dirección IP y de un número de puerto UDP crea un identificador único,
permitiendo que diversos puertos se definan individualmente como hosts RADIUS que proporcionan un servicio AAA específico.
En otras palabras, este identificador único permite enviar las solicitudes RADIUS a puertos UDP diferentes de un servidor en la
misma dirección IP. Si dos diversas entradas de host en el mismo servidor de RADIUS se configuran para el mismo servicio —
por ejemplo, el considerar — la segunda entrada de host se configura que actúa como respaldo de la Conmutación por falla
primer. Si la primera entrada de host no puede proporcionar los servicios de las estadísticas, el servidor de acceso a la red
intentará la segunda entrada de host configurada en el mismo dispositivo para los servicios que consideran. (Las entradas de
host RADIUS se probarán en el orden en el que están configuradas.)
Para definir un host servidor con un nombre de grupo de servidores, ingrese los siguientes comandos en el modo de
configuración global. El servidor mencionado debe existir en el modo de configuración global.
Prerrequisitos
Cada servidor en el grupo se debe definir previamente usando radius-server host el comando.
PASOS SUMARIOS
1. enable
2. configure terminal
3. radius-server host {hostname | ip-address} []auth-port port-numberdel []acct-port port-numberdel []timeout
secondsdel []retransmit retriesdel []key string[alias {hostname | ip-address}]
4. aaa group server {radius | tacacs+} group-name
5. server ip-address []auth-port port-numberdel []acct-port port-number
6. end
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de
configuración global.
Paso radius-server host {hostname | ipaddress} [auth-port port-number] [acct3
Especifica y define la dirección IP
del host servidor antes de
configurar al Grupo de servidores
AAA.
Example:
Router> enable
Example:
Router# configure terminal
port port-number] [timeout seconds] [
retransmit retries] [key string] [alias
{hostname | ip-address}]
Example:
Router(config)# radius-server host
10.45.1.2
Paso aaa group server {radius | tacacs+}
group-name
4
Example:
Router(config)# aaa group server radius
group1
Paso server ip-address [auth-port portnumber] [acct-port port-number]
5
Example:
Router(config-sg-radius)# server
172.16.1.1 acct-port 1616
• Ingrese su contraseña si se
le pide que lo haga.
• Vea “configurando al router
la sección a la comunicación
del servidor de RADIUS” para
más información sobre radiusserver host el comando.
Define al Grupo de servidores AAA
con un nombre del grupo.
• Todos los miembros de un
grupo deben ser el mismo tipo,
es decir, RADIUS o TACACS+.
Este comando pone al router en
el modo de configuración del
grupo de servidores.
Asocia a un servidor de RADIUS
determinado al grupo de servidores
definido.
• Cada servidor de seguridad
es identificado por su dirección
IP y el número del puerto UDP.
• Relance este paso para
cada servidor de RADIUS en el
Grupo de servidores AAA.
Paso end
6
Example:
Router(config-sg-radius)# end
Modo de configuración y
devoluciones del grupo de
servidores de las salidas al modo
EXEC privilegiado.
Configurar a los Grupos de servidores AAA con Deadtime
Después de que usted haya configurado un host servidor con Nombre del servidor, usted puede utilizar deadtime el comando
de configurar cada servidor por el grupo de servidores. Configurar el deadtime dentro de un grupo de servidores permite que
usted ordene el tráfico AAA para separar los grupos de servidores que tengan diversas características de funcionamiento.
Configurar el deadtime no se limita a una configuración global. Un temporizador separado se asocia a cada host servidor en
cada grupo de servidores. Por lo tanto, cuando un servidor se encuentra para ser insensible después de las retransmisiones y
de los descansos numerosos, el servidor se asume para estar muerto. Los temporizadores asociados a cada host servidor en
todos los grupos de servidores se accionan. Esencialmente, se marcan los temporizadores y los pedidos posteriores a un
servidor (una vez que se asume para estar muerto) se dirigen a los temporizadores alternos, si están configurados. Cuando el
servidor de acceso a la red recibe una contestación del servidor, marca y para todos los temporizadores configurados (si se
ejecuta) para ese servidor en todos los grupos de servidores.
Si ha expirado el temporizador, el servidor al cual se asocia el temporizador se asume para estar vivo. Éste se convierte en el
único servidor que se puede intentar para peticiones posteriores AAA usando los grupos de servidores a quienes el
temporizador pertenece.
Observeporque un servidor tiene diversos temporizadores y puede tener diversos valores del deadtime configurados en los
grupos de servidores, el mismo servidor puede, en el futuro, tener diversos estados (muertos y vivos) al mismo tiempo.
Observepara cambiar el estado de un servidor, usted debe comenzar y parar todos los temporizadores configurados en todos
los grupos de servidores.
Los tamaños del grupo de servidores serán aumentados levemente debido a la adición de nuevos temporizadores y del atributo
del deadtime. El impacto total de la estructura depende del número y de los tamaños de los grupos de servidores y cómo los
servidores se comparten entre los grupos de servidores en una configuración específica.
Para configurar el deadtime dentro de un Grupo de servidores AAA, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa group server radius group
4. deadtime minutes
5. end
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
1
Ingresa en el modo de configuración global.
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example:
Router# configure
terminal
Paso aaa group server radius Define a un grupo de servidores del tipo del RADIO y
group
1
ingresa al modo de configuración del grupo de
servidores.
Example:
Router(config)# aaa
group server radius
group1
Paso deadtime minutes
2
Example:
Router(config-sgradius)# deadtime 1
Paso end
3
Example:
Router(config-sgradius)# end
Las configuraciones y definen el valor del deadtime en
los minutos.
El deadtimedel grupo de servidor local de la nota
reemplazará la configuración global. Si está
omitido de la configuración de grupo del
servidor local, el valor del deadtime será
heredado de la lista maestra.
Modo de configuración y devoluciones del grupo de
servidores de las salidas al modo EXEC privilegiado.
Configurar la Autenticación previa AAA DNIS
La Autenticación previa DNIS habilita la Autenticación previa en la configuración de la llamada basada en el número marcado.
El número DNIS se envía directamente al servidor de seguridad cuando se recibe una llamada. Si es autenticada por el AAA, se
valida la llamada.
Para configurar la Autenticación previa DNIS, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa preauthorization
4. group {radius | tacacs+ | server-group}
5. dnis []passwordstring
6. end
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso aaa preauthorization
3
Ingresa al modo de configuración de la
autenticación previa AAA.
Paso group {radius | tacacs+ |
server-group}
4
(Opcional) Selecciona el servidor de seguridad que
se va a utilizar para las solicitudes de
preautenticación AAA.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure terminal
Example:
Router(config)# aaa
preauthorization
Example:
Router(configpreauth)# group radius
•
El valor predeterminado es RADIUS.
Paso dnis [password string]
5
Habilita la autenticación previa utilizando DNIS y
especifica opcionalmente una contraseña para
utilizar en paquetes de Acceso-Solicitud.
Paso end
6
Modo de configuración y devoluciones de la
autenticación previa AAA de las salidas al modo
EXEC privilegiado.
Example:
Router(configpreauth)# dnis password
dnispass
Example:
Router(config-preauth)#
end
Configuración de la Selección del Grupo de Servidores AAA Basada en DNIS
El Cisco IOS Software permite que usted asigne un número DNIS a un Grupo de servidores AAA determinado de modo que el
grupo de servidores pueda procesar los pedidos del autenticación, autorización y contabilidad los usuarios que marcan adentro
a la red usando ese DNIS determinado. Cualquier línea telefónica (un teléfono particular o una línea comercial T1/PRI) se puede
asociar a varios números de teléfono. El número DNIS identifica el número al que se llamó para ponerse en contacto con usted.
Por ejemplo, suponga que desea compartir el mismo número de teléfono con varios clientes, pero desea saber qué cliente llama
antes de descolgar el auricular. Puede personalizar cómo responder al teléfono porque DNIS le permite saber qué cliente está
llamando cuando contesta.
Los routers Cisco con ISDN o módems internos pueden recibir el número DNIS. Estas funciones permiten que los usuarios
asignen a diversos grupos de servidor de RADIUS para diversos clientes (es decir, diversos servidores de RADIUS para
diversos números DNIS). Además, usando los grupos de servidores, usted puede especificar al mismo grupo de servidores para
los servicios AAA o un grupo de servidor separado para cada servicio AAA.
El Cisco IOS Software proporciona la flexibilidad para implementar los servicios de autenticación y de la contabilización de
varias maneras:
• Global: los servicios AAA se definen utilizando los comandos de la lista de acceso de la configuración global y se aplican
en general a todas las interfaces de un servidor de acceso a la red específico.
• Por la interfaz — Definen usando los comandos interface configuration y se aplican a los servicios AAA específicamente
a la interfaz que es configurada en un servidor de acceso a la red específico.
•
Mapping DNIS: puede utilizar DNIS para especificar un servidor AAA que suministre servicios AAA.
Porque cada uno de estos métodos de la configuración AAA se puede configurar simultáneamente, Cisco ha establecido una
orden de preferencia de determinar qué servidor o grupos de servidores proporcionan los servicios AAA. El orden de preferencia
es el siguiente:
• Por el DNIS — Si usted configura al servidor de acceso a la red para utilizar el DNIS para identificar o para determinar
qué grupo de servidores proporciona los servicios AAA, después este método toma la precedencia sobre cualquier método
adicional de la selección AAA.
• Por interfaz: si se configura el servidor de acceso a la red por interfaz con el fin de utilizar las listas de acceso para
determinar cómo proporciona un servidor los servicios AAA, este método tiene prioridad sobre las listas de acceso AAA de
configuración global existentes.
• Global — Si usted configura al servidor de acceso a la red usando las Listas de acceso globales AAA para determinar
cómo el servidor de seguridad proporciona los servicios AAA, este método tiene la menos precedencia.
Observeantes de configurar la selección de Grupo de servidores AAA basada en la característica DNIS, usted debe configurar
la lista de hosts y de Grupos de servidores AAA del servidor de RADIUS. Vea la sección a la comunicación del servidor de
RADIUS de las secciones el “configurar del router” y el “configurar sección de los Grupos de servidores AAA”.
Para configurar el router para seleccionar a un AAA Server Group determinado basado en el DNIS del grupo de servidores,
configure el mapping de DNIS. Para asociar a un grupo de servidores con un nombre del grupo con el número DNIS, realice la
tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa dnis map enable
4. aaa dnis map dnis-numbergrupo de la autenticación PPP server-group-name
5. aaa dnis map dnis-numbergrupo de red de la autorización server-group-name
6. aaa dnis mapdnis-numberaccounting network[none | start-stop | stop-only] group server-group-name
7. exit
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le
pide que lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración
global.
Paso aaa dnis map enable
3
Habilita el mapping DNIS.
Paso aaa dnis map dnis-number
authentication ppp group server4
Mapea un número DNIS a un grupo de
servidores AAA definido; los servidores
de este grupo de servidores se están
utilizando para la autenticación.
Example:
Router# configure terminal
Example:
Router(config)# aaa dnis map
enable
group-name
Example:
Router(config)# aaa dnis map 7777
authentication ppp group sg1
Paso aaa dnis map dnis-number
authorization network group
5
server-group-name
Example:
Router(config)# aaa dnis map 7777
authorization network group sg1
Paso aaa dnis map dnis-number
accounting network [none | start6
stop | stop-only] group servergroup-name
Mapea un número DNIS a un grupo de
servidores AAA definido; los servidores
en este grupo de servidores se están
utilizando para la autorización.
Mapea un número DNIS a un grupo de
servidores AAA definido; los servidores
de este grupo de servidores se están
utilizando para la contabilización.
Example:
Router(config)# aaa dnis map 8888
accounting network stop-only group
sg2
Paso exit
7
Example:
Router(config)# exit
Salidas modo de configuración global y
devoluciones al modo EXEC privilegiado.
Configuración de la Autenticación Previa AAA
Configurar la autenticación previa AAA con ISDN PRI o Señalización asociada al canal (CAS) permite que los proveedores de
servicio manejen mejor los puertos usando sus soluciones existentes RADIUS y que manejen eficientemente el uso de los
recursos compartidos de ofrecer el service-level agreements de diferenciación. Con ISDN PRI o CAS, la información sobre una
llamada entrante está disponible para el servidor de acceso a la red (NAS) antes de que la llamada esté conectada. La
información de la llamada disponible incluye el siguiente:
•
El número DNIS, también designado número al que se llamó
•
El número del Calling Line Identification (CLID), también designado el número que llama
•
El tipo de llamada, también designado la capacidad portadora
La característica de la autenticación previa AAA permite que Cisco NAS decida — en base del número DNIS, del número CLID,
o del tipo de llamada — si conectar una llamada entrante. (Con ISDN PRI, habilita la autenticación de usuario y la autorización
antes de que se conteste una llamada. Con CAS, la llamada debe ser contestada; sin embargo, la llamada puede ser caída si la
Autenticación previa falla.)
Cuando una llamada entrante llega del Switch de red pública, pero antes de que está conectada, la autenticación previa AAA
permite al NAS para enviar el número DNIS, el número CLID, y el tipo de llamada a un servidor de RADIUS para la autorización.
Si el servidor autoriza la llamada, después el NAS valida la llamada. Si el servidor no autoriza la llamada, después el NAS envía
un mensaje de la desconexión al Switch de red pública para rechazar la llamada.
En caso que la aplicación de servidor de RADIUS llegue a ser inasequible o sea lenta responder, un temporizador del guardia
se puede fijar en el NAS. Cuando expira el temporizador, el NAS utiliza un parámetro configurable para validar o para rechazar
la llamada entrante que no tiene ninguna autorización.
Los soportes de característica de la autenticación previa AAA el uso del atributo 44 por la aplicación de servidor de RADIUS y el
uso de los atributos de RADIUS que se configuran en la Autenticación previa RADIUS perfilan para especificar el
comportamiento de la Autenticación previa. Pueden también ser utilizados, por ejemplo, para especificar si la autenticación
subsiguiente debe ocurrir y, si es así qué método de autentificación debe ser utilizado.
Las restricciones siguientes se aplican a la autenticación previa AAA con ISDN PRI y CAS:
• El atributo 44 está disponible para las llamadas de CAS solamente cuando se habilita la Autenticación previa o la
distribución de recursos.
•
El multilink de multichasis PPP (MMP) no está disponible con ISDN PRI.
• La autenticación previa AAA está disponible solamente en las Plataformas del Cisco AS5300, del Cisco AS5400, y del
Cisco AS5800.
Observeantes de configurar la autenticación previa AAA, usted debe habilitar aaa new-model el comando y aseegurarse que la
aplicación de la Autenticación previa que soporta se está ejecutando en un servidor de RADIUS en su red.
Para configurar la autenticación previa AAA, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa preauthorization
4. group server-group
5. clid [if-avail | required] []accept-stop del []passwordstring
6. ctype [if-avail | required] []accept-stop del []passwordstring
7. dnis [if-avail | required] []accept-stop del []passwordstring
8. dnis bypass dnis-group-name
9. exit
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso aaa preauthorization
3
Ingresa al modo de configuración de la
autenticación previa AAA.
Paso group server-group
4
Especifica RADIUS AAA al grupo de
servidores para utilizar para la Autenticación
previa.
Paso clid [if-avail | required] [
accept-stop] [password string]
5
Llamadas de Preauthenticates en base del
número CLID.
Example:
Router> enable
• Ingrese su contraseña si se le pide
que lo haga.
Example:
Router# configure terminal
Example:
Router(config)# aaa
preauthorization
Example:
Router(config-preauth)# group
sg2
Example:
Router(config-preauth)# clid
required
Paso ctype [if-avail | required] [
accept-stop] [password string]
6
Llamadas de Preauthenticates en base del
tipo de llamada.
Example:
Router(config-preauth)# ctype
required
Paso dnis [if-avail | required] [
accept-stop] [password string]
7
Llamadas de Preauthenticates en base del
número DNIS.
Example:
Router(config-preauth)# dnis
required
Paso dnis bypass dnis-group-name
8
Especifica un grupo de números DNIS que
sean desviados para la Autenticación previa.
Paso end
9
Modo de configuración y devoluciones de la
Autenticación previa de las salidas al modo
EXEC privilegiado.
Example:
Router(config-preauth)# dnis
bypass group1
Example:
Router(config-preauth)# end
Configurar la Autenticación previa DNIS
Para configurar la Autenticación previa DNIS, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa preauthorization
4. group {radius | tacacs+ | server-group}
5. dnis []passwordstring
6. end
PASOS DETALLADOS
Comando
Paso enable
1
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router> enable
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso aaa preauthorization
3
Ingresa en el modo de autenticación previa de AAA.
Paso group {radius | tacacs+ |
server-group}
4
(Opcional) Selecciona el servidor de seguridad que
se va a utilizar para las solicitudes de
preautenticación AAA.
Example:
Router# configure terminal
Example:
Router(config)# aaa
preauthorization
Example:
Router(configpreauth)# group radius
•
El valor predeterminado es RADIUS.
Paso dnis [password string]
5
Habilita la autenticación previa utilizando DNIS y
especifica opcionalmente una contraseña para
utilizar en paquetes de Acceso-Solicitud.
Paso end
6
Modo de configuración y devoluciones de la
autenticación previa AAA de las salidas al modo
EXEC privilegiado.
Example:
Router(configpreauth)# dnis password
dnispass
Example:
Router(config-preauth)#
end
Configuración de un Temporizador de Guardia
Porque el tiempo de respuesta para la Autenticación previa y los pedidos de autenticación pueden variar, el temporizador del
guardia permite que usted controle la dirección de las llamadas. El temporizador del guardia comienza cuando el DNIS se envía
al servidor de RADIUS. Si el NAS no recibe una respuesta del AAA antes de que expire el temporizador del guardia, valida o
rechaza las llamadas en base de la configuración del temporizador.
Para fijar un temporizador del guardia para validar o para rechazar una llamada en caso que el servidor de RADIUS no pueda
responder a una petición de la autenticación o de la Autenticación previa, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface type number
4. isdn guard-timer milliseconds [on-expiry{accept | reject}]
5. call guard-timer milliseconds [on-expiry{accept | reject}]
6. end
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso interface type number
3
Ingresa en el modo de configuración de la interfaz.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Example:
Router(config)# interface
serial 1/0/0:23
Paso isdn guard-timer
Fija un temporizador del guardia ISDN para validar o
milliseconds [on-expiry { para rechazar una llamada en caso que el servidor
4
accept | reject}]
de RADIUS no pueda responder a una petición de la
Autenticación previa.
Example:
Router(config-if)# isdn
guard-timer 8000 onexpiry reject
Paso call guard-timer
Fija un temporizador del guardia de CAS para validar
milliseconds [on-expiry { o para rechazar una llamada en caso que el servidor
5
accept | reject}]
de RADIUS no pueda responder a una petición de la
Autenticación previa.
Example:
Router(config-if)# call
guard-timer 2000 onexpiry accept
Paso end
6
Example:
Router(config-if)# end
Salidas modo de configuración de la interfaz y
devoluciones al modo EXEC privilegiado.
Configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS
El marcado de salida en gran escala elimina la necesidad de configurar los Mapas de marcado en cada NAS para cada destino.
En lugar, usted puede crear los perfiles del sitio remoto que contienen los atributos de la llamada saliente en el servidor de AAA.
El perfil es descargado por el NAS cuando el tráfico de paquetes requiere una llamada ser puesto a un sitio remoto.
Usted puede configurar el nombre de usuario en el mensaje del pedido de acceso al RADIUS. El sufijo predeterminado del
nombre de usuario, “- hacia fuera,” se añade al final del fichero al nombre de usuario. El formato para componer el atributo del
nombre de usuario es la dirección IP más el sufijo configurado.
Para proporcionar la capacidad de la configuración del nombre de usuario para el marcado de salida en gran escala, dialer aaa
el comando se implementa con el nuevo suffix y password las palabras claves.
Para configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS, realice la tarea siguiente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. aaa new-model
4. aaa route download time
5. aaa authorization configuration default
6. interfacemarcador number
7. dialer aaa
8. dialer aaa suffix suffix password password
9. exit
PASOS DETALLADOS
Comando
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso aaa new-model
3
Habilita el modelo del control de acceso
AAA.
Paso aaa route download time
4
Habilita la característica de la Static ruta de
la descarga y fija la cantidad de tiempo
entre las descargas.
Paso aaa authorization configuration
default
5
Información de la configuración de la Static
ruta de las descargas del servidor de AAA
usando el TACACS+ o el RADIUS.
• Ingrese su contraseña si se le pide
que lo haga.
Example:
Router> enable
Example:
Router# configure terminal
Example:
Router(config)# aaa new-model
Example:
Router(config)# aaa route
download 450
Example:
Router(config)# aaa
authorization configuration
default
Paso interface dialer number
6
Define un grupo rotativo de marcadores e
Paso dialer aaa
7
Permite que un marcador acceda al servidor
AAA para obtener la información de
marcado.
Paso dialer aaa suffix suffix
password password
8
Permite que un marcador acceda el servidor
de AAA para la Información de marcado y
especifica un sufijo y una contraseña para
autenticación del nondefault.
ingresa el modo de configuración de la
Example:
Router(config)# interface dialer interfaz.
1
Example:
Router(config-if)# dialer aaa
Example:
Router(config-if)# dialer aaa
suffix @samp password password12
Paso exit
9
Salidas modo de configuración de la interfaz
y devoluciones al modo EXEC privilegiado.
Example:
Router(config-if)# exit
Monitoreo y Mantenimiento de RADIUS
Para monitorear y mantener el RADIUS, utilice los siguientes comandos.
PASOS SUMARIOS
1. enable
2. debug radius
3. show radius statistics
4. show aaa servers
5. exit
PASOS DETALLADOS
Comando
Paso enable
1
Example:
Router> enable
debug radius
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso
2
Muestra la información relacionada con RADIUS.
Example:
Router# debug
radius
Paso show radius
statistics
3
Visualiza las estadísticas RADIUS para considerar y los
paquetes de autenticación.
Example:
Router# show
radius statistics
Paso show aaa servers
4
Visualiza el estatus y el número de paquetes a los cuales se
envíen y se reciban de todos los servidores del público y del
soldado RADIUS AAA según lo interpretado por el servidor de
AAA MIB.
Paso exit
5
Sale a la sesión de router.
Example:
Router# show aaa
servers
Example:
Router# exit
Ejemplos de configuración para el RADIUS
•
Ejemplo: Autenticación de RADIUS y autorización
•
Ejemplo: Autenticación de RADIUS, autorización, y estadísticas
•
Ejemplo: Configuración de RADIUS Vendedor-propietaria
•
Ejemplo: Servidor de RADIUS con los valores Servidor-específicos
•
Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos
•
Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor
•
Ejemplo: Grupo de servidor de RADIUS
•
Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA
•
Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS
•
Ejemplo: Autenticación previa AAA
•
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
•
Ejemplo: Temporizador del guardia
Ejemplo: Autenticación de RADIUS y autorización
El ejemplo siguiente muestra cómo configurar el router para autenticar y para autorizar el uso de RADIUS:
aaa authentication login use-radius group radius local
aaa authentication ppp user-radius if-needed group radius
aaa authorization exec default group radius
aaa authorization network default group radius
Las líneas de esta configuración de autenticación y autorización RADIUS de ejemplo se definen como sigue:
•
aaa authentication login use-radius group radius local El comando configura al router para utilizar RADIUS para la
autenticación en el prompt de inicio de sesión. Si RADIUS devuelve un error, el usuario se autentica con la base de datos
local. En este ejemplo, use-radius es el nombre de la lista de métodos, que especifica el RADIUS y entonces la
autenticación local.
•
aaa authentication ppp user-radius if-needed group radius El comando configura el Cisco IOS Software para utilizar
la autenticación de RADIUS para uso en línea el PPP con la GRIETA o el PAP si no han autorizado al usuario ya. Si el
recurso del EXEC ha autenticado al usuario, la autenticación de RADIUS no se realiza. En este ejemplo, user-radius es el
nombre de la lista de métodos que define el RADIUS como el método de autentificación si-necesario.
•
aaa authorization exec default group radius Los comandos estableces la información de RADIUS que se utiliza para
la autorización de EXEC, los autocommands, y las Listas de acceso.
•
aaa authorization network default group radius Los comandos estableces RADIUS para la Autorización de red, la
asignación de dirección, y las Listas de acceso.
Ejemplo: Autenticación de RADIUS, autorización, y estadísticas
El siguiente ejemplo muestra una Configuración general usando el RADIUS con el comando aaa fijado:
radius-server host 10.45.1.2
radius-server key myRaDiUSpassWoRd
username root password ALongPassword
aaa authentication ppp dialins group radius local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
aaa authentication login admins local
aaa authorization exec default local
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem ri-is-cd
interface group-async 1
encaps ppp
ppp authentication pap dialins
Las líneas de esta configuración de autenticación, autorización y contabilización RADIUS de ejemplo se definen como sigue:
•
radius-server host El comando define la dirección IP del host del servidor de RADIUS.
•
radius-server key El comando define la cadena de texto del secreto compartido entre el servidor de acceso a la red y el
host del servidor de RADIUS.
•
aaa authentication ppp dialins group radius local El comando define la lista “dialins del método de autentificación,”
que especifica esa autenticación de RADIUS y después (si no responde el servidor de RADIUS) autenticación local será
utilizado en las líneas seriales usando el PPP.
•
aaa authorization network default group radius local Se utiliza el comando de asignar un direccionamiento y otros
parámetros de red al usuario de RADIUS.
•
aaa accounting network default start-stop group radius El comando sigue el uso PPP.
•
aaa authentication login admins local El comando define otra lista de métodos, los “admins,” para la autenticación de
inicio de sesión.
•
login authentication admins El comando aplica la lista de métodos de los “admins” para la autenticación de inicio de
sesión.
•
ppp authentication pap dialins El comando aplica la lista de métodos de los “dialins” a las líneas especificadas.
Ejemplo: Configuración de RADIUS Vendedor-propietaria
El siguiente ejemplo muestra una Configuración general usando el RADIUS vendedor-propietario con el comando aaa fijado:
radius-server host host1 non-standard
radius-server key myRaDiUSpassWoRd
radius-server configure-nas
username root password ALongPassword
aaa authentication ppp dialins group radius local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
aaa authentication login admins local
aaa authorization exec default local
line 1 16
autoselect ppp
autoselect during-login
login authentication admins
modem ri-is-cd
interface group-async 1
encaps ppp
ppp authentication pap dialins
Las líneas en esta autenticación de RADIUS, autorización, y ejemplo de configuración de las estadísticas se definen como
sigue:
•
radius-server host non-standard El comando define el nombre del host del servidor de RADIUS y lo identifica que
este host RADIUS utiliza una versión vendedor-propietaria del RADIUS.
•
radius-server key El comando define la cadena de texto del secreto compartido entre el servidor de acceso a la red y el
host del servidor de RADIUS.
•
radius-server configure-nas El comando define que el router Cisco o el Access Server preguntará al servidor de
RADIUS para las Static rutas y las definiciones de la agrupación IP cuando el dispositivo primero empieza para arriba.
•
aaa authentication ppp dialins group radius local El comando define la lista “dialins del método de autentificación,”
que especifica esa autenticación de RADIUS, y entonces (si no responde el servidor de RADIUS) la autenticación local será
utilizada en las líneas seriales usando el PPP.
•
aaa authorization network default group radius local Se utiliza el comando de asignar un direccionamiento y otros
parámetros de red al usuario de RADIUS.
•
aaa accounting network default start-stop group radius El comando sigue el uso PPP.
•
aaa authentication login admins local El comando define otra lista de métodos, los “admins,” para la autenticación de
inicio de sesión.
•
login authentication admins El comando aplica la lista de métodos de los “admins” para la autenticación de inicio de
sesión.
•
ppp authentication pap dialins El comando aplica la lista de métodos de los “dialins” a las líneas especificadas.
Ejemplo: Servidor de RADIUS con los valores Servidor-específicos
Las demostraciones del siguiente ejemplo cómo configurar el descanso servidor-específico, retransmiten, y los valores de la
clave para el servidor de RADIUS con la dirección IP 172.31.39.46:
radius-server host 172.31.39.46 timeout 6 retransmit 5 key rad123
Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos
Las demostraciones del siguiente ejemplo cómo configurar a dos servidores de RADIUS con el descanso específico,
retransmiten, y los valores de la clave. En este ejemplo, aaa new-model el comando habilita los servicios AAA en el router, y los
comandos aaa específicos definen los servicios AAA. radius-server retransmit El comando cambia el valor global de la
retransmisión a 4 para todos los servidores de RADIUS. radius-server host El comando configura el descanso, la
retransmisión, y los valores de la clave específicos para los hosts del servidor de RADIUS con los IP Addresses 172.16.1.1 y
172.29.39.46.
! Enable AAA services on the router and define those services.
aaa new-model
aaa authentication login default group radius
aaa authentication login console-login none
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
enable password tryit1
!
! Change the global retransmission value for all RADIUS servers.
radius-server retransmit 4
!
! Configure per-server specific timeout, retransmission, and key values.
! Change the default auth-port and acct-port values.
radius-server host 172.16.1.1 auth-port 1612 acct-port 1616 timeout 3 retransmit 3 key
radkey
!
! Configure per-server specific timeout and key values. This server uses the global
! retransmission value.
radius-server host 172.29.39.46 timeout 6 key rad123
Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor
Las demostraciones del siguiente ejemplo cómo configurar al servidor de acceso a la red para reconocer varias entradas de
host RADIUS con la misma dirección IP. Dos diversas entradas de host en el mismo servidor de RADIUS se configuran para los
mismos servicios — autenticación y las estadísticas. La segunda entrada de host configurada actúa como respaldo de la
Conmutación por falla primer. (Las entradas de host RADIUS se probarán en el orden en el que están configuradas.)
! This command enables AAA.
aaa new-model
! The next command configures default RADIUS parameters.
aaa authentication ppp default group radius
! The next set of commands configures multiple host entries for the same IP address.
radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
radius-server host 172.20.0.1 auth-port 2000 acct-port 2000
Ejemplo: Grupo de servidor de RADIUS
El siguiente ejemplo muestra cómo crear el grupo de servidores radgroup1 con tres diversos miembros del servidor de RADIUS,
cada uno usando el puerto de la autenticación predeterminada (1645) y el puerto de contabilidad (1646):
aaa group server radius radgroup1
server 172.16.1.11
server 172.17.1.21
server 172.18.1.31
El siguiente ejemplo muestra cómo crear el grupo de servidores radgroup2 con tres miembros del servidor de RADIUS, cada
uno con la misma dirección IP pero con la autenticación única y los puertos de contabilidad:
aaa group server radius radgroup2
server 172.16.1.1 auth-port 1000 acct-port 1001
server 172.16.1.1 auth-port 2000 acct-port 2001
server 172.16.1.1 auth-port 3000 acct-port 3001
Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA
Las demostraciones del siguiente ejemplo cómo configurar al servidor de acceso a la red para reconocer a dos diversos grupos
de servidor de RADIUS. Uno de estos grupos, group1, tiene dos diversas entradas de host en el mismo servidor de RADIUS
configurado para los mismos servicios. La segunda entrada de host configurada actúa como respaldo de la Conmutación por
falla primer. Configuran a cada grupo individualmente para el deadtime; el deadtime para el group1 es uno minucioso, y el
deadtime para el group2 es dos minutos.
Observeen caso de que los comandos global y utilizan a los comandos server, el comando server toma la precedencia sobre el
comando global.
! This command enables AAA.
aaa new-model
! The next command configures default RADIUS parameters.
aaa authentication ppp default group group1
! The following commands define the group1 RADIUS server group and associate servers
! with it and configures a deadtime of one minute.
aaa group server radius group1
server 10.1.1.1 auth-port 1645 acct-port 1646
server 10.2.2.2 auth-port 2000 acct-port 2001
deadtime 1
! The following commands define the group2 RADIUS server group and associate servers
! with it and configures a deadtime of two minutes.
aaa group server radius group2
server 10.2.2.2 auth-port 2000 acct-port 2001
server 10.3.3.3 auth-port 1645 acct-port 1646
deadtime 2
! The following set of commands configures the RADIUS attributes for each host entry
! associated with one of the defined server groups.
radius-server host 10.1.1.1 auth-port 1645 acct-port 1646
radius-server host 10.2.2.2 auth-port 2000 acct-port 2001
radius-server host 10.3.3.3 auth-port 1645 acct-port 1646
Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS
Las demostraciones del siguiente ejemplo cómo seleccionar a los grupos de servidor de RADIUS basados en el DNIS para
proporcionar los servicios específicos AAA:
! This command enables AAA.
aaa new-model
!
! The following set of commands configures the RADIUS attributes for each server
! that will be associated with one of the defined server groups.
radius-server host 172.16.0.1 auth-port 1645 acct-port 1646 key cisco1
radius-server host 172.17.0.1 auth-port 1645 acct-port 1646 key cisco2
radius-server host 172.18.0.1 auth-port 1645 acct-port 1646 key cisco3
radius-server host 172.19.0.1 auth-port 1645 acct-port 1646 key cisco4
radius-server host 172.20.0.1 auth-port 1645 acct-port 1646 key cisco5
! The following commands define the sg1 RADIUS server group and associate servers
! with it.
aaa group server radius sg1
server 172.16.0.1
server 172.17.0.1
! The following commands define the sg2 RADIUS server group and associate a server
! with it.
aaa group server radius sg2
server 172.18.0.1
! The following commands define the sg3 RADIUS server group and associate a server
! with it.
aaa group server radius sg3
server 172.19.0.1
! The following commands define the default-group RADIUS server group and associate
! a server with it.
aaa group server radius default-group
server 172.20.0.1
! The next set of commands configures default-group RADIUS server group parameters.
aaa authentication ppp default group default-group
aaa accounting network default start-stop group default-group
!
!
!
!
!
!
!
!
!
!
The next set of commands enables DNIS mapping and maps DNIS numbers to the defined
RADIUS server groups. In this configuration, all PPP connection requests using
DNIS 7777 are sent to the sg1 server group. The accounting records for these
connections (specifically, start-stop records) are handled by the sg2 server group.
Calls with a DNIS of 8888 use server group sg3 for authentication and server group
default-group for accounting. Calls with a DNIS of 9999 use server group
default-group for authentication and server group sg3 for accounting records
(stop records only). All other calls with DNIS other than the ones defined use the
server group default-group for both authentication and stop-start accounting records.
aaa dnis map enable
aaa dnis map 7777 authentication ppp group sg1
aaa dnis map 7777 accounting network start-stop group sg2
aaa dnis map 8888 authentication ppp group sg3
aaa dnis map 9999 accounting network stop-only group sg3
Ejemplo: Autenticación previa AAA
Lo que sigue es una Configuración simple que especifica que el número DNIS esté utilizado para la Autenticación previa:
aaa preauthentication
group radius
dnis required
El siguiente ejemplo muestra que una configuración que especifica que el número DNIS y el CLID numeran esté utilizado para
la Autenticación previa. La Autenticación previa DNIS será realizada primero, seguido por la Autenticación previa CLID.
aaa preauthentication
group radius
dnis required
clid required
El siguiente ejemplo especifica que la Autenticación previa esté realizada en todos los números DNIS a menos que los dos
números DNIS especificados en el grupo DNIS llamaran el "dnis-group1":
aaa preauthentication
group radius
dnis required
dnis bypass dnis-group1
dialer dnis group dnis-group1
number 12345
number 12346
Lo que sigue es una configuración AAA de la muestra con la Autenticación previa DNIS:
aaa new-model
aaa authentication login CONSOLE none
aaa authentication login RADIUS_LIST group radius
aaa authentication login TAC_PLUS group tacacs+ enable
aaa authentication login V.120 none
aaa authentication enable default enable group tacacs+
aaa authentication ppp RADIUS_LIST if-needed group radius
aaa authorization exec RADIUS_LIST group radius if-authenticated
aaa authorization exec V.120 none
aaa authorization network default group radius if-authenticated
aaa authorization network RADIUS_LIST if-authenticated group radius
aaa authorization network V.120 group radius if-authenticated
aaa accounting suppress null-username
aaa accounting exec default start-stop group radius
aaa accounting commands 0 default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting system default start-stop group radius
aaa preauthentication
dnis password Cisco-DNIS
aaa nas port extended
!
radius-server configure-nas
radius-server host 10.0.0.0 auth-port 1645 acct-port 1646 non-standard
radius-server host 10.255.255.255 auth-port 1645 acct-port 1646 non-standard
radius-server retransmit 2
radius-server deadtime 1
radius-server attribute nas-port format c
radius-server unique-ident 18
radius-server key MyKey
Observepara configurar la Autenticación previa, usted debe también configurar los perfiles de la Autenticación previa en el
servidor de RADIUS.
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
El siguiente ejemplo muestra un perfil del usuario de RADIUS (formato de la daemon del Merit) que incluya los atributos del
Tunelización RADIUS. Esta entrada soporta dos túneles, uno para L2F y otro para L2TP. Las entradas de etiquetas con túneles
L2F de soporte :1 y entradas de etiquetas con: Túneles L2TP con soporte 2.
cisco.com Password = "PASSWORD3", Service-Type = Outbound
Service-Type = Outbound,
Tunnel-Type = :1:L2F,
Tunnel-Medium-Type = :1:IP,
Tunnel-Client-Endpoint = :1:"10.0.0.2",
Tunnel-Server-Endpoint = :1:"10.0.0.3",
Tunnel-Client-Auth-Id = :1:"l2f-cli-auth-id",
Tunnel-Server-Auth-Id = :1:"l2f-svr-auth-id",
Tunnel-Assignment-Id = :1:"l2f-assignment-id",
Cisco-Avpair = "vpdn:nas-password=l2f-cli-pass",
Cisco-Avpair = "vpdn:gw-password=l2f-svr-pass",
Tunnel-Preference = :1:1,
Tunnel-Type = :2:L2TP,
Tunnel-Medium-Type = :2:IP,
Tunnel-Client-Endpoint = :2:"10.0.0.2",
Tunnel-Server-Endpoint = :2:"10.0.0.3",
Tunnel-Client-Auth-Id = :2:"l2tp-cli-auth-id",
Tunnel-Server-Auth-Id = :2:"l2tp-svr-auth-id",
Tunnel-Assignment-Id = :2:"l2tp-assignment-id",
Cisco-Avpair = "vpdn:l2tp-tunnel-password=l2tp-tnl-pass",
Tunnel-Preference = :2:2
Ejemplo: Temporizador del guardia
El siguiente ejemplo muestra un temporizador del guardia ISDN que se fije en 8000 milisegundos. Una llamada será rechazada
si el servidor de RADIUS no ha respondido a una petición de la Autenticación previa cuando expira el temporizador.
interface serial 1/0/0:23
isdn guard-timer 8000 on-expiry reject
aaa preauthentication
group radius
dnis required
El siguiente ejemplo muestra un temporizador del guardia de CAS que se fije en 20.000 milisegundos. Una llamada será
validada si el servidor de RADIUS no ha respondido a una petición de la Autenticación previa cuando expira el temporizador.
controller T1 0
framing esf
clock source line primary
linecode b8zs
ds0-group 0 timeslots 1-24 type e&m-fgb dtmf dnis
cas-custom 0
call guard-timer 20000 on-expiry accept
aaa preauthentication
group radius
dnis required
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
AAA y comandos radius
Referencia de Comandos de Seguridad de Cisco IOS
Atributos de RADIUS
La “descripción y el RADIUS IETF de los atributos de RADIUS
atribuye” el módulo
AAA
•
“Configurando módulo de la autenticación”
•
“Configurando módulo de la autorización”
•
“Configurando módulo de las estadísticas”
L2F, L2TP, VPN, o VPDN
Tecnologías de marcación guía de configuración del Cisco IOS y
guía de configuración de VPDN del Cisco IOS
Configuración del módem y
Administración
Guía de Configuración de las Tecnologías de Marcado de Cisco IOS
Identificación de puerto
RADIUS para el PPP
Guía de Configuración de redes de área ancha del Cisco IOS
Estándares
Estándar
Título
Ninguno
—
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de
funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:
http://www.cisco.com/go/mibs
RFC
RFC
Título
RFC 2139 Contabilización RADIUS
RFC 2865 Remote Authentication Dial-In User Service (RADIUS)
RFC 2867 Modificaciones de las estadísticas RADIUS para el soporte del Tunnel Protocol
RFC 2868 Atributos de RADIUS para soporte a protocolo de túnel
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información de la característica para configurar el RADIUS
El cuadro 16 enumera el historial de la versión para esta característica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 16 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de
la función
Configurar el
RADIUS
Versiones Información sobre la Función
11,1
El sistema de seguridad RADIUS es un cliente/un sistema del servidor
distribuidos que asegura las redes contra el acceso no autorizado. En la
implementación de Cisco, los clientes RADIUS se ejecutan en los Cisco
Routers y envían solicitudes de autenticación a un servidor RADIUS
central que contenga toda la información de acceso de la autenticación
de usuario y del servicio de red. El RADIUS es completamente un
protocolo abierto, distribuido en el formato del código fuente, que se
puede modificar para trabajar con cualquier sistema de seguridad
actualmente disponible.
Esta característica fue introducida en el Cisco IOS Release 11.1.
Estadísticas
del radio vía
el SNMP
15.1(1)S
Esta característica proporciona las estadísticas relacionadas con los
el 15.1(4)M servidores de RADIUS del tráfico de RADIUS y del soldado.
La sección siguiente proporciona la información sobre esta
característica:
•
Monitoreo y Mantenimiento de RADIUS
Se han modificado los siguientes comandos: muestre los servidores
aaa show radius statistics.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de
teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras
incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales
en contenido ilustrativo es involuntario y fortuito.
Cisco Systems, Inc. 1998-2011 del © Todos los derechos reservados.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074124_sec_cfg_radius_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Descargar