forum.opennet.ru

Составление сообщения

Исходное сообщение

"Настройка двух RADIUS-серверов"
Отправлено smooop, 14-Июл-10 09:55

доброго всем времени суток! я вот тоже столкнулся с проблемой резервирования Radius-сервера для проверки подлинности пользователей (dot1x). как настроить cisco 2960 на работу с 2-мя RADIUS-серверами аутентификации по dot1x, один постоянный другой резервный на случай выхода из строя основного.
На обоих серверах настроен FreeRadius по 1812-1813 портам для доступа на активное оборудование и виндовый радиус по портам 1645-1646 для аутентификации по dot1x пользователей сети.
Вот часть конфига
aaa new-model
!
!
aaa group server radius RADMIN
server 192.168.17.185 auth-port 1812 acct-port 1813
server 192.168.17.186 auth-port 1812 acct-port 1813
!
aaa group server radius DOT1X
server 192.168.17.185 auth-port 1645 acct-port 1646
server 192.168.17.186 auth-port 1645 acct-port 1646
!
aaa authentication login default group radius local
aaa authentication login ADMINS group RADMIN local
aaa authentication enable default enable
aaa authentication dot1x default group DOT1X
aaa authorization exec default group radius local
aaa authorization exec ADMINS group RADMIN local
aaa authorization network default group radius
aaa accounting send stop-record authentication failure
aaa accounting exec default start-stop group radius
!
.
.
.
radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04
radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156
radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805
radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514
вот с таким конфигом работает полностью как надо FreeRadius,т.е. если основной сервер выходит из строя то cisco автоматом лезет на резервный, а вот пользователи сети отваливаются.
Проверял, если меняю местами радиус сервера то она прекрасно коннектится на резервный, значит сервер резервный по dot1x работает.
Почему автоматически не происходит проверка подлинности (dot1x) через резервный сервер?
Пробовал и вот так
aaa group server radius RADMIN
server 192.168.17.185 auth-port 1812 acct-port 1813
server 192.168.17.186 auth-port 1812 acct-port 1813
!
aaa group server radius DOT1X
server 192.168.17.186 auth-port 1645 acct-port 1646
!
aaa group server radius DOT1X2
server 192.168.17.185 auth-port 1645 acct-port 1646
!
aaa authentication login default group radius local
aaa authentication login ADMINS group RADMIN local
aaa authentication enable default enable
aaa authentication dot1x default group DOT1X group DOT1X2
aaa authorization exec default group radius local
aaa authorization exec ADMINS group RADMIN local
aaa authorization network default group DOT1X group DOT1X2
aaa accounting update periodic 1
aaa accounting network default start-stop broadcast group DOT1X group DOT1X2
.
.
radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04
radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156
radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805
radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514

Исходное сообщение
"Настройка двух RADIUS-серверов" Отправлено smooop, 14-Июл-10 09:55
доброго всем времени суток! я вот тоже столкнулся с проблемой резервирования Radius-сервера для проверки подлинности пользователей (dot1x). как настроить cisco 2960 на работу с 2-мя RADIUS-серверами аутентификации по dot1x, один постоянный другой резервный на случай выхода из строя основного. На обоих серверах настроен FreeRadius по 1812-1813 портам для доступа на активное оборудование и виндовый радиус по портам 1645-1646 для аутентификации по dot1x пользователей сети. Вот часть конфига aaa new-model ! ! aaa group server radius RADMIN server 192.168.17.185 auth-port 1812 acct-port 1813 server 192.168.17.186 auth-port 1812 acct-port 1813 ! aaa group server radius DOT1X server 192.168.17.185 auth-port 1645 acct-port 1646 server 192.168.17.186 auth-port 1645 acct-port 1646 ! aaa authentication login default group radius local aaa authentication login ADMINS group RADMIN local aaa authentication enable default enable aaa authentication dot1x default group DOT1X aaa authorization exec default group radius local aaa authorization exec ADMINS group RADMIN local aaa authorization network default group radius aaa accounting send stop-record authentication failure aaa accounting exec default start-stop group radius ! . . . radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04 radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156 radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805 radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514 вот с таким конфигом работает полностью как надо FreeRadius,т.е. если основной сервер выходит из строя то cisco автоматом лезет на резервный, а вот пользователи сети отваливаются. Проверял, если меняю местами радиус сервера то она прекрасно коннектится на резервный, значит сервер резервный по dot1x работает. Почему автоматически не происходит проверка подлинности (dot1x) через резервный сервер? Пробовал и вот так aaa group server radius RADMIN server 192.168.17.185 auth-port 1812 acct-port 1813 server 192.168.17.186 auth-port 1812 acct-port 1813 ! aaa group server radius DOT1X server 192.168.17.186 auth-port 1645 acct-port 1646 ! aaa group server radius DOT1X2 server 192.168.17.185 auth-port 1645 acct-port 1646 ! aaa authentication login default group radius local aaa authentication login ADMINS group RADMIN local aaa authentication enable default enable aaa authentication dot1x default group DOT1X group DOT1X2 aaa authorization exec default group radius local aaa authorization exec ADMINS group RADMIN local aaa authorization network default group DOT1X group DOT1X2 aaa accounting update periodic 1 aaa accounting network default start-stop broadcast group DOT1X group DOT1X2 . . radius-server host 192.168.17.185 auth-port 1812 acct-port 1813 key 7 03530C001F1D204B4F071D04 radius-server host 192.168.17.185 auth-port 1645 acct-port 1646 key 7 1452011F0917787B7578773D2419135100095C5A5B5156 radius-server host 192.168.17.186 auth-port 1812 acct-port 1813 key 7 08761B45100B041013050805 radius-server host 192.168.17.186 auth-port 1645 acct-port 1646 key 7 074A32584B1A4B5546424F0402203F632B3B3F21100514

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру