Story Transcript
Configurar el RADIUS Descargue este capítulo Configurar el RADIUS Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de usuario, versión 12.2SR (PDF - 6 MB) Feedback
Contenidos Configurar el RADIUS Encontrar la información de la característica Contenido Información sobre el RADIUS Operación de RADIUS Atributos RADIUS Atributos de RADIUS Patentados por el Proveedor Atributos de Túnel RADIUS Autenticación previa en un servidor de RADIUS Perfil de RADIUS para la Autenticación previa DNIS o CLID Perfil de RADIUS para la Autenticación previa del tipo de llamada Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala Perfil de RADIUS para la administración del módem Perfil de RADIUS para la autenticación subsiguiente Perfil de RADIUS para el tipo de la autenticación subsiguiente Perfil de RADIUS para incluir el nombre de usuario Perfil de RADIUS para la autenticación bidireccional Perfil de RADIUS para soportar la autorización Autenticación RADIUS Autorización RADIUS Contabilización RADIUS Login-IP-host RADIUS Prompt RADIUS Atributos de RADIUS específicos del vendedor Static rutas y IP Addresses en el servidor de RADIUS Cómo configurar el RADIUS Configurar al router a la comunicación del servidor de RADIUS Configurar a un router para la comunicación Vendedor-propietaria del servidor de RADIUS Configurar a un router para ampliar la información de puerto del servidor de acceso a la red Reemplazo del atributo del NAS-puerto por el atributo de RADIUS Configuración de Grupos de Servidores AAA Prerrequisitos Configurar a los Grupos de servidores AAA con Deadtime Configurar la Autenticación previa AAA DNIS Configuración de la Selección del Grupo de Servidores AAA Basada en DNIS Configuración de la Autenticación Previa AAA Configurar la Autenticación previa DNIS Configuración de un Temporizador de Guardia Configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS Monitoreo y Mantenimiento de RADIUS Ejemplos de configuración para el RADIUS Ejemplo: Autenticación de RADIUS y autorización Ejemplo: Autenticación de RADIUS, autorización, y estadísticas Ejemplo: Configuración de RADIUS Vendedor-propietaria Ejemplo: Servidor de RADIUS con los valores Servidor-específicos Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor Ejemplo: Grupo de servidor de RADIUS Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS Ejemplo: Autenticación previa AAA Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS Ejemplo: Temporizador del guardia Referencias adicionales Documentos Relacionados Estándares
MIB RFC Asistencia Técnica Información de la característica para configurar el RADIUS
Configurar el RADIUS Primera publicación: De julio el 27 de 1998 Última actualización: De marzo el 25 de 2011 El sistema de seguridad RADIUS es un cliente/un sistema del servidor distribuidos que asegura las redes contra el acceso no autorizado. En la implementación de Cisco, los clientes RADIUS se ejecutan en los Cisco Routers y envían solicitudes de autenticación a un servidor RADIUS central que contenga toda la información de acceso de la autenticación de usuario y del servicio de red. El RADIUS es completamente un protocolo abierto, distribuido en el formato del código fuente, que se puede modificar para trabajar con cualquier sistema de seguridad actualmente disponible.
Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para configurar la sección RADIUS”. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Contenido •
Información sobre el RADIUS
•
Cómo configurar el RADIUS
•
Ejemplos de configuración para el RADIUS
•
Referencias adicionales
•
Información de la característica para configurar el RADIUS
Información sobre el RADIUS Cisco soporta el RADIUS bajo su paradigma de la Seguridad del Authentication, Authorization, and Accounting (AAA). El RADIUS se puede utilizar con otros protocolos de Seguridad AAA tales como TACACS+, Kerberos, y operaciones de búsqueda del nombre de usuario local. El RADIUS se soporta en todas las Plataformas de Cisco, pero algunas características soportado por RADIUS se ejecutan solamente en las Plataformas especificadas. El RADIO se ha implementado en una variedad de entornos de red que requieren los altos niveles de seguridad mientras que mantienen el acceso a la red para los usuarios remotos. Utilice el RADIUS en los entornos de red siguientes que requieren la seguridad de acceso: • Redes con el Access Server del proveedor múltiple, cada RADIUS que soporta. Por ejemplo, el Access Server de varios vendedores utiliza las solas bases de datos de seguridad basadas en el servidor RADIUS. En red basada en IP con el Access Server de los proveedores múltiples, autentican a los usuarios de dial in a través de un servidor de RADIUS que se ha personalizado para trabajar con el sistema de seguridad del Kerberos. • Entornos de seguridad de la red de llavero en los cuales las aplicaciones soportan el protocolo RADIUS, tal como adentro un ambiente de acceso que utiliza un Sistema de control de acceso de la placa inteligente. En un caso, el RADIUS se ha utilizado con los indicadores luminosos LED amarillo de la placa muestra gravedad menor de la Seguridad de Enigma para validar a los usuarios y para conceder el acceso a los recursos de red. • Redes ya usando el RADIUS. Usted puede agregar a un router Cisco con el RADIUS a la red. Éste pudo ser el primer paso cuando usted hace una transición a un servidor TACACS+. • Redes en las cuales un usuario debe acceder solamente un solo servicio. Usando el RADIUS, usted puede controlar el acceso del usuario a un solo host, a una sola utilidad tal como Telnet, o a un solo protocolo tal como Point-to-Point Protocol (PPP). Por ejemplo, cuando un usuario abre una sesión, el RADIUS identifica a este usuario como se comienza tener autorización de ejecutar el PPP usando la dirección IP 10.2.3.4 y la lista de acceso definida. • Redes que requieren la contabilidad de recursos. Usted puede utilizar a la independiente de las estadísticas RADIUS de la autenticación de RADIUS o de la autorización. Las funciones de contabilidad de RADIUS permiten que los datos sean enviados al comienzo y final de los servicios, indicando el periodo de los recursos (tales como tiempo, paquetes, bytes, y así sucesivamente) usados durante la sesión. Un ISP pudo utilizar una versión basado en freeware del control de acceso a RADIUS y de los programas informáticos de contabilidad para cubrir las necesidades de facturación y seguridad especiales. • Redes que soportan la Autenticación previa. Usando el servidor de RADIUS en su red, usted puede configurar la autenticación previa AAA y configurar los perfiles de la Autenticación previa. La Autenticación previa permite a los proveedores de servicio para manejar mejor los puertos usando sus soluciones existentes RADIUS, y para manejar eficientemente el uso de los recursos compartidos de ofrecer el service-level agreements de diferenciación. El RADIUS no es conveniente en las situaciones siguientes de la seguridad de la red: •
Ambientes de acceso Multiprotocol. El RADIUS no soporta los protocolos siguientes: – Acceso Remoto del APPLETALK (ARA)
– Protocolo del Frame Control del NetBios (NBFCP) – Interfaz asíncrona de los servicios del Netware (NASI) – Conexiones de los ensambladores/de los desensambladores de paquete X.25 (PISTA) • Situaciones del router a router. El RADIUS no proporciona la autenticación bidireccional. El RADIUS se puede utilizar para autenticar a partir de un router a un router no perteneciente a Cisco si el router no perteneciente a Cisco requiere la autenticación de RADIUS. •
Redes usando una variedad de servicios. El RADIUS ata generalmente a un usuario a un modelo de servicio.
Las secciones siguientes proporcionan más información sobre el RADIUS: •
Operación de RADIUS
•
Atributos RADIUS
•
Autenticación previa en un servidor de RADIUS
•
La autenticación de RADIUS, página 9
•
La autorización de RADIUS, página 9
•
Las estadísticas RADIUS, página 9
•
Login-IP-host RADIUS
•
Prompt RADIUS
•
Atributos de RADIUS específicos del vendedor
•
Static rutas y IP Addresses en el servidor de RADIUS
Operación de RADIUS Cuando un usuario intenta iniciar sesión y autenticar a un Access Server usando el RADIUS, los pasos siguientes ocurren: 1. Se indica al usuario que ingrese el nombre de usuario y contraseña. 2. El nombre de usuario y la contraseña encriptada se envían sobre la red al servidor de RADIUS. 3. El usuario recibe una de las respuestas siguientes del servidor de RADIUS: a. VALIDE — Autentican al usuario. b. DESAFÍO — Un desafío es publicado por el servidor de RADIUS. El desafío recoge los datos adicionales del usuario. c. CONTRASEÑA del CAMBIO — Una petición es publicada por el servidor de RADIUS, pidiendo que el usuario seleccione una nueva contraseña. d. RECHAZO — Se indica al usuario no se autentica y que entre el nombre de usuario y contraseña de nuevo, o se niega el acceso. La respuesta del VALIDAR o del RECHAZO se lía con los datos adicionales que se utilizan para el EXEC o la Autorización de red. Usted debe primero completar la autenticación de RADIUS antes de usar la autorización de RADIUS. Los datos adicionales incluidos con los paquetes del VALIDAR o del RECHAZO consisten en el siguiente: • Servicios que el usuario puede acceder, incluyendo las conexiones tales como Telnet, rlogin, o LAT, y servicios tales como servicios PPP, SLIP, o del EXEC. •
Parámetros de la conexión, incluyendo el host o el dirección IP del cliente, lista de acceso, y descansos del usuario.
Atributos RADIUS El servidor de acceso a la red monitorea la autorización de RADIUS y las funciones de contabilidad definidas por los atributos de RADIUS en cada perfil del usuario. Para más información sobre los atributos de RADIUS, vea que la “descripción y el RADIUS IETF de los atributos de RADIUS atribuye” el módulo. Esta sección contiene las siguientes secciones: •
Atributos de RADIUS Patentados por el Proveedor
•
Atributos de Túnel RADIUS
Atributos de RADIUS Patentados por el Proveedor Un estándar de borrador IETF para el RADIUS especifica un método para comunicar la información vendedor-propietaria entre el servidor de acceso a la red y el servidor de RADIUS. Algunos vendedores, sin embargo, han ampliado el atributo de RADIUS fijado en una forma única. El software de Cisco IOS soporta un subconjunto de atributos de RADIUS patentados por el proveedor.
Atributos de Túnel RADIUS El RADIO es un protocolo AAA del servidor de seguridad desarrollado originalmente por los pares del valor de atributo de las aplicaciones del RADIO de Livingston, Inc. (AV) para comunicar la información entre el servidor de seguridad y el servidor de acceso a la red. El RFC 2138 y el RFC 2139 describen la funcionalidad básica del RADIUS y el conjunto original de las pares AV de la norma de IETF usadas para enviar la información AAA. Dos normas de IETF del proyecto, los “atributos de RADIUS para las modificaciones del soporte del Tunnel Protocol” y “de las estadísticas RADIUS para el soporte del Tunnel Protocol,” amplían el conjunto definido por IETF de las pares AV para incluir los atributos específicos a los VPN; estos atributos se utilizan para llevar la información del Tunelización entre el servidor de RADIUS y el iniciador del túnel. El RFC 2865 y el RFC 2868
amplían el conjunto definido por IETF de las pares AV para incluir los atributos específicos al Tunelización obligatorio en los VPN permitiendo que el usuario especifique los nombres de la autenticación para el servidor de acceso a la red y el servidor de RADIUS. Los routeres Cisco y el Access Server soportan los nuevos atributos del túnel del Virtual Private Dialup Network (VPDN) de la norma de IETF RADIUS. Para más información, vea las tecnologías de marcación guía de configuración del Cisco IOS y la guía de configuración de VPDN del Cisco IOS. Vea también los ejemplos de configuración siguientes: •
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
Autenticación previa en un servidor de RADIUS Los atributos de RADIUS se configuran en los perfiles de la Autenticación previa RADIUS para especificar el comportamiento de la Autenticación previa. Además de configurar la Autenticación previa en su router Cisco, usted debe configurar los perfiles de la Autenticación previa en el servidor de RADIUS. •
Perfil de RADIUS para la Autenticación previa DNIS o CLID
•
Perfil de RADIUS para la Autenticación previa del tipo de llamada
•
Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido
•
Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala
•
Perfil de RADIUS para la administración del módem
•
Perfil de RADIUS para la autenticación subsiguiente
•
Perfil de RADIUS para el tipo de la autenticación subsiguiente
•
Perfil de RADIUS para incluir el nombre de usuario
•
Perfil de RADIUS para la autenticación bidireccional
•
Perfil de RADIUS para soportar la autorización
Perfil de RADIUS para la Autenticación previa DNIS o CLID Para configurar el perfil de la Autenticación previa RADIUS, utilizar el número DNIS o CLID como el nombre de usuario, y utilizar la contraseña definida en dnis u clid ordenar como la contraseña.
Observeel perfil de la Autenticación previa debe tener “saliente” como el tipo de servicio porque la contraseña se predefine en el NAS. Configurar el perfil de autenticación previa de este modo evita que los usuarios intenten acceder al NAS con el nombre de usuario del número DNIS, número CLID o tipo de llamada y una contraseña obvia. Incluyen al tipo de servicio “saliente” también en el paquete access-request enviado al servidor de RADIUS.
Perfil de RADIUS para la Autenticación previa del tipo de llamada Para configurar el perfil de la Autenticación previa RADIUS, utilizar la cadena del tipo de llamada como el nombre de usuario, y utilizar la contraseña definida en ctype el comando como la contraseña. El cuadro 1 enumera las cadenas del tipo de llamada que se pueden utilizar en el perfil de la Autenticación previa.
Cadena del tipo de llamada Capacidades portadoras ISDN digital
Digital digital, restricto sin restricción.
discurso
Discurso, audio del kHz 3,1, audio del kHz 7. Observeesto es el único tipo de llamada disponible para CAS.
v.110
Cualquier cosa con la capa de la información del usuario de V.110.
v.120
Cualquier cosa con la capa de la información del usuario de V.120.
Observeel perfil de la Autenticación previa debe tener “saliente” como el tipo de servicio porque la contraseña se predefine en el NAS. Configurar el perfil de autenticación previa de este modo evita que los usuarios intenten acceder al NAS con el nombre de usuario del número DNIS, número CLID o tipo de llamada y una contraseña obvia. Incluyen en el paquete access-request enviado al servidor de RADIUS y debe ser un elemento al tipo de servicio “saliente” también del enregistramiento si los soportes del servidor de RADIUS se registran los elementos.
Perfil de RADIUS para las mejoras de la Autenticación previa para el servicio repetido El servicio repetido permite que los usuarios de la red remota tales como telecommuters marquen adentro al NAS sin la carga. Cuando se requiere el servicio repetido, el NAS cuelga para arriba la llamada actual y marca la parte posterior del llamador. Cuando el NAS realiza el servicio repetido, sólo la información para la conexión saliente es aplicada. El resto de los atributos del mensaje del access-accept de la Autenticación previa se desecha.
Observeel IP Address de destino no se requiere para ser vuelto del servidor de RADIUS. El siguiente ejemplo muestra una configuración del perfil de RADIUS con un número de devolución de llamada de 555-0101 y el tipo de servicio fijado a saliente. Cisco-avpair = “preauth: el send-name=” utiliza la cadena el "user1" y Cisco-avpair = “preauth: el send-secret=” utiliza la contraseña “Cisco.” 5550101 password = "cisco", Service-Type = Outbound Service-Type = Callback-Framed Framed-Protocol = PPP, Dialback-No = "5550119" Class = "ISP12" cisco-avpair = "preauth:send-name=user1" cisco-avpair = "preauth:send-secret=cisco"
Perfil de RADIUS para un nombre de host remoto usado para el marcado de salida en gran escala El siguiente ejemplo protege contra accidentalmente la llamada de un número de teléfono válido pero acceder al router incorrecto proporcionando al nombre del router remoto, para el uso en el marcado de salida en gran escala: 5550101 password = "PASSWORD1", Service-Type = Outbound Service-Type = Callback-Framed Framed-Protocol = PPP, Dialback-No = "5550190" Class = "ISP12" cisco-avpair = "preauth:send-name=user1" cisco-avpair = "preauth:send-secret=PASSWORD1" cisco-avpair = "preauth:remote-name=Router2"
Perfil de RADIUS para la administración del módem Cuando se utiliza el DNIS, el CLID, o la Autenticación previa del tipo de llamada, la respuesta afirmativa del servidor de RADIUS puede incluir una cadena del módem para la administración del módem en el NAS con VSA 26. La administración del módem VSA tiene el sintaxis siguiente: cisco-avpair = "preauth:modem-service=modem min-speed max-speed modulation error-correction compression "
El cuadro 2 enumera los elementos de la cadena de la administración del módem dentro del VSA.
Comando
Argumento
minuto-velocidad
, cualquiera
MAX-velocidad
, cualquiera
modulación
K56Flex, v22bis, v32bis, v34, v90, ningunos
corrección de errores
lapm, mnp4
compresión
mnp5, v42bis
Cuando la cadena de la administración del módem se recibe del servidor de RADIUS bajo la forma de VSA, la información se pasa al Cisco IOS Software y se aplica sobre por llamada una base. Los módems del agrupamiento de canales ISDN de módem (MICA) proporcionan un canal de control a través del cual los mensajes se puedan enviar durante el tiempo de configuración de llamada. Por lo tanto, esta característica de la administración del módem se soporta solamente con los módems MICA y más nuevas Tecnologías. Esta característica no se soporta con los módems Microcom.
Perfil de RADIUS para la autenticación subsiguiente
Si la Autenticación previa pasa, usted puede utilizar el atributo de RADIUS vendedor-propietario 201 (Requerir-auth) en el perfil de la Autenticación previa para determinar si la autenticación subsiguiente debe ser realizada. Si el atributo 201, vuelto en el mensaje del access-accept, tiene un valor de 0, después la autenticación subsiguiente no será realizada. Si el atributo 201 tiene un valor de 1, después la autenticación subsiguiente será realizada como de costumbre. El atributo 201 tiene el sintaxis siguiente: cisco-avpair = "preauth:auth-required="
donde el n tiene el mismo rango del valor que el atributo 201 (es decir, 0 o 1). Si el atributo 201 falta en el perfil de la Autenticación previa, después un valor de 1 se asume, y se realiza la autenticación subsiguiente.
Observepara realizar la autenticación subsiguiente, usted debe configurar un perfil de usuario común además de un perfil de la Autenticación previa.
Perfil de RADIUS para el tipo de la autenticación subsiguiente Si usted ha especificado la autenticación subsiguiente en el perfil de la Autenticación previa, usted debe también especificar los tipos de autenticación que se utilizarán para la autenticación subsiguiente. Para especificar los tipos de autenticación permitidos en la autenticación subsiguiente, utilice el VSA siguiente: cisco-avpair = "preauth:auth-type="
El cuadro 3 enumera los valores permitidos para el elementostring del .
String (cadena)
Descripción
grieta
Requiere el nombre de usuario y contraseña del Challenge Handshake Authentication Protocol (CHAP) para la autenticación PPP.
ms-chap
Requiere el nombre de usuario y contraseña del MS-CHAP para la autenticación PPP.
pap
Requiere el nombre de usuario y contraseña del protocolo password authentication (PAP) para la autenticación PPP.
Para especificar que se permite a los tipos de la autenticación múltiple, usted puede configurar más de un caso de este VSA en el perfil de la Autenticación previa. La secuencia del tipo de autenticación VSA en el perfil de la Autenticación previa es significativa porque especifica la orden de los tipos de autenticación que se utilizarán en la negociación PPP. Este VSA es un atributo de usuario y substituye la lista del tipo de autenticación en ppp authentication el comando interface configuration.
Notausted debe utilizar este VSA solamente si se requiere la autenticación subsiguiente porque especifica el tipo de autenticación para la autenticación subsiguiente.
Perfil de RADIUS para incluir el nombre de usuario Si solamente la Autenticación previa se utiliza para autenticar una llamada, el NAS podría faltar un nombre de usuario cuando saca a colación la llamada. El RADIUS puede proporcionar un nombre de usuario para que el NAS utilice con el atributo de RADIUS 1 (username) o con un VSA vuelto en el paquete access-accept. El VSA para especificar el nombre de usuario tiene el sintaxis siguiente: cisco-avpair = "preauth:username="
Si no se especifica ningún nombre de usuario, utilizan el número DNIS, el número CLID, o al tipo de llamada, dependiendo del comando más reciente de la Autenticación previa se ha configurado que (por ejemplo, si clid era el comando más reciente de la Autenticación previa configurado, el número CLID será utilizado como el nombre de usuario). Si la autenticación subsiguiente se utiliza para autenticar una llamada, pudo haber dos nombres de usuario: uno proporcionado por el RADIUS y uno proporcionó por el usuario. En este caso, el nombre de usuario proporcionado por el usuario reemplaza el que está contenido en el perfil de la Autenticación previa RADIUS; el nombre de usuario proporcionado por el usuario se utiliza para la autenticación y las estadísticas.
Perfil de RADIUS para la autenticación bidireccional En el caso de la autenticación bidireccional, el dispositivo de interconexión de redes de llamada necesitará autenticar el NAS. El nombre de usuario PAP y la contraseña o el nombre de usuario y contraseña de la GRIETA no necesitan ser configurados localmente en el NAS. En lugar, el nombre de usuario y contraseña se puede incluir en los mensajes del access-accept para la Autenticación previa.
Observe ppp authentication el comando debe ser configurado con radius el comando. Para solicitar el PAP, no configure ppp pap sent-name password el comando en la interfaz. Preauth VSA “: send-name" y "preauth: el enviar-secreto” será utilizado como el nombre de usuario PAP y la contraseña PAP para la autenticación de salida. Para la GRIETA, “preauth: el enviar-nombre” será utilizado no sólo para la autenticación de salida, pero también para la autenticación entrante. Para una caja entrante de la GRIETA, el NAS utilizará el nombre definido en el “preauth: enviar-nombre” en el paquete Challenge al dispositivo de interconexión de redes del llamador. Para una caja saliente de la GRIETA, ambo “preauth: send-name" y "preauth: el enviar-secreto” será utilizado en el paquete de respuesta. El siguiente ejemplo muestra una configuración que especifique la autenticación bidireccional: 5550101 password = "PASSWORD2", Service-Type = Outbound Service-Type = Framed-User cisco-avpair = "preauth:auth-required=1" cisco-avpair = "preauth:auth-type=pap" cisco-avpair = "preauth:send-name=user1" cisco-avpair = "preauth:send-secret=PASSWORD2" class = ""
La autenticación bidireccionalde la nota no trabaja cuando se habilita la distribución de recursos.
Perfil de RADIUS para soportar la autorización Si solamente se configura la Autenticación previa, después la autenticación subsiguiente será desviada. Observe que porque el nombre de usuario y contraseña no está disponible, la autorización también será desviada. Sin embargo, usted puede incluir los atributos de la autorización en el perfil de la Autenticación previa para aplicar los atributos de usuario y para evitarlos tener que volver posteriormente al RADIUS para la autorización. Para iniciar el proceso de la autorización, usted debe también configurar aaa authorization network el comando en el NAS. Usted puede configurar los atributos de la autorización en el perfil de la Autenticación previa con una excepción: el atributo de tipo de servicio (atributo 6). El atributo de tipo de servicio se debe convertir a un VSA en el perfil de la Autenticación previa. Este VSA tiene el sintaxis siguiente: cisco-avpair = "preauth:service-type="
donde están uno el de los valores estándar del RFC 2865 para el atributo 6.
Observesi autenticación subsiguiente se requiere, los atributos de la autorización en el perfil de la Autenticación previa no son aplicados.
Autenticación RADIUS Después de que usted haya identificado al servidor de RADIUS y haya definido la clave de la autenticación de RADIUS, usted debe definir las listas de métodos para la autenticación de RADIUS. Porque la autenticación de RADIUS se facilita con el AAA, usted debe ingresar aaa authentication el comando, especificando el RADIO como el método de autentificación.
Autorización RADIUS La autorización AAA le deja fijar los parámetros que restringen un acceso de usuario a la red. La autorización usando el RADIUS proporciona un método para el control de acceso remoto, incluyendo la autorización única o la autorización para cada servicio, por usuario lista y perfil de la cuenta, soporte del grupo de usuarios, y soporte del IP, del IPX, del Acceso Remoto del APPLETALK (ARA), y de Telnet. Porque la autorización de RADIUS se facilita con el AAA, usted debe publicar aaa authorization el comando, especificando el RADIUS como el método de autorización.
Contabilización RADIUS
La característica de contabilidad AAA le permite para seguir a los usuarios de servicios está accediendo y la cantidad de recursos de red que están consumiendo. Porque las estadísticas RADIUS se facilitan con el AAA, usted debe publicar aaa accounting el comando, especificando el RADIUS como el método de contabilidad.
Login-IP-host RADIUS Para permitir al servidor de acceso a la red para intentar más de un login reciba al intentar conectar a un usuario de dial in, usted puede ingresar tanto como tres entradas del Login-IP-host en el perfil de usuario en el servidor de RADIUS. El siguiente ejemplo muestra que tres casos del Login-IP-host se han configurado para el user1 del usuario, y que TCP-claro será utilizado para la conexión: user1 Password = xyz Service-Type = Login, Login-Service = TCP-Clear, Login-IP-Host = 10.0.0.0, Login-IP-Host = 10.2.2.2, Login-IP-Host = 10.255.255.255, Login-TCP-Port = 23
La orden en la cual se ingresan los hosts es la orden en la cual se intentan. Utilice ip tcp synwait-time el comando de fijar el número de segundos que el NAS espere antes de intentar conectar con el host siguiente en la lista; el valor por defecto es 30 segundos. Su servidor de RADIUS pudo permitir más de tres entradas del Login-IP-host; sin embargo, el servidor de acceso a la red soporta solamente tres hosts en los paquetes access-accepts.
Prompt RADIUS Para controlar si los paquetes del acceso-desafío de las respuestas del usuario están producidos eco a la pantalla, usted puede configurar el atributo pronto en el perfil del usuario en el servidor de RADIUS. Este atributo se incluye solamente en los paquetes del Acceso-desafío. El siguiente ejemplo muestra la Ninguno-generación de eco fijada atributo pronto, que evita que las respuestas del usuario produzcan eco: user1 Password = xyz Service-Type = Login, Login-Service = Telnet, Prompt = No-Echo, Login-IP-Host = 172.31.255.255
Para permitir que las respuestas del usuario produzcan eco, fije el atributo para producir eco. Si el atributo pronto no se incluye en el perfil del usuario, las respuestas se producen eco por abandono. Este atributo reemplaza el comportamiento radius-server challenge-noecho del comando configurado en el Access Server. Por ejemplo, si el Access Server se configura para suprimir producir eco, solamente el perfil de usuario individual permite el producir eco, después se producen eco las respuestas del usuario.
Observesi usted quieren utilizar el atributo pronto, su servidor de RADIUS debe ser configurado para soportar los paquetes del Acceso-desafío.
Atributos de RADIUS específicos del vendedor El estándar de borrador IETF especifica un método para comunicar la información específica del vendedor entre el servidor de acceso a la red y el servidor de RADIUS usando el atributo específico del proveedor (atributo 26). Los atributos específicos del proveedor (VSA) permiten que los vendedores soporten sus propios atributos extendidos no convenientes para el uso general. La implementación del RADIUS de Cisco soporta una Opción específica del proveedor usando el formato recomendado en la especificación. El Vendor ID de Cisco es 9, y la opción soportada tiene el vendedor-tipo 1, que se nombra “Cisco-avpair.” El valor es una cadena del formato siguiente: protocol : attribute sep value *
El “protocolo” es un valor del atributo del “protocolo” de Cisco para un tipo determinado de autorización; los protocolos que pueden ser utilizados incluyen el IP, el Intercambio de paquetes entre redes (IPX), el VPDN, el VoIP, el Secure Shell (SSH), el Resource Reservation Protocol (RSVP), el procesador de interfaz serial (SORBO), AirNet, y saliente. El “atributo” y el “valor” son pares AV apropiadas definidas en la especificación de Cisco TACACS+, y “sept” está “=” para los atributos obligatorios y “*” para los atributos opcionales. Esto permite que el Conjunto completo de las características disponibles para que autorización TACACS+ también sea utilizado para el RADIUS. Por ejemplo, las pares AV siguientes causan el IP Address Nombrado múltiple de Cisco “reúnen” la característica que se activará durante la autorización IP (durante la asignación de dirección del Protocolo de control de Protocolo de Internet PPP (IPCP)): cisco-avpair= "ip:addr-pool=first"
Si usted inserta “*”, IP de las pares AV un “: el addr-pool=first” llega a ser opcional. Observe que cualquier par AV se puede hacer opcional. cisco-avpair= "ip:addr-pool*first"
El siguiente ejemplo muestra cómo causar a un usuario que abre una sesión de un servidor de acceso a la red para tener acceso inmediato a los comandos exec: cisco-avpair= "shell:priv-lvl=15"
Los otros vendedores tienen su propio vendedor único ID, las opciones, y VSA asociados.
Static rutas y IP Addresses en el servidor de RADIUS Algunas implementaciones vendedor-propietarias del RADIUS dejaron al usuario definir las Static rutas y las definiciones de la agrupación IP en el servidor de RADIUS en vez en de cada Access Server de la red individual en la red. Cada servidor de acceso a la red entonces pregunta al servidor de RADIUS para la Static ruta y la información de la agrupación IP. Para tener el router Cisco o el Access Server pregunte al servidor de RADIUS para las Static rutas y las definiciones de la agrupación IP cuando el dispositivo empieza para arriba, utilizan radius-server configuration-nas el comando.
Cómo configurar el RADIUS Para configurar el RADIUS en su router Cisco o Access Server, usted debe realizar las tareas siguientes: • Utilice aaa new-model el comando global configuration de habilitar el AAA. El AAA debe ser configurado si usted planea utilizar el RADIUS. • Utilice aaa authentication el comando global configuration de definir las listas de métodos para la autenticación de RADIUS. Para más información sobre usar aaa authentication el comando, vea “configurando el módulo de la autenticación ”. • Uso line y interface comandos de habilitar las listas de métodos definidas que se utilizarán. Para más información, vea “ configurando el módulo de la autenticación”. Las tareas de configuración siguientes son opcionales: • Usted puede utilizar aaa group server el comando de agrupar los hosts seleccionados RADIUS para los servicios específicos. Para más información sobre usar aaa group server el comando, vea “configurando la sección a los Grupos de servidores AAA”. • Usted puede utilizar aaa dnis map el comando de seleccionar a los grupos de servidor de RADIUS basados en el número del Dialed Number Identification Service (DNIS). Antes de que usted utilice este comando, usted debe definir a los grupos de servidor de RADIUS usando aaa group server el comando. Para más información sobre usar aaa dnis map el comando, vea “configurando la selección de Grupo de servidores AAA basada en la sección DNIS”. • Usted puede utilizar aaa authorization el comando global configuration de autorizar las funciones específicas del usuario. Para más información sobre usar aaa authorization el comando, vea “configurando el módulo de la autorización”. • Usted puede utilizar aaa accounting el comando de habilitar explicar las conexiones RADIUS. Para más información sobre usar aaa accounting el comando, vea “configurando el módulo de las estadísticas”. • Usted puede utilizar dialer aaa el comando interface configuration de crear los perfiles del sitio remoto que contienen los atributos de la llamada saliente en el servidor de AAA. Para más información sobre usar dialer aaa el comando, vea que “configurar el sufijo y la contraseña en el acceso a RADIUS pide” la sección. Esta sección describe cómo configurar RADIUS para la autenticación, autorización, y las estadísticas en su red, e incluye las secciones siguientes: •
Configurando al router a la comunicación del servidor de RADIUS (requerida)
•
Configurando a un router para la comunicación Vendedor-propietaria del servidor de RADIUS (opcional)
•
Configurando a un router para ampliar la información de puerto del servidor de acceso a la red (opcional)
•
Substituyendo el atributo del NAS-puerto por el atributo de RADIUS (opcional)
•
Configurando a los Grupos de servidores AAA (opcionales)
•
Configurando a los Grupos de servidores AAA con Deadtime (opcional)
•
Configurando la Autenticación previa AAA DNIS (opcional)
•
Configurando la selección de Grupo de servidores AAA basada en el DNIS (opcional)
•
Configurando la autenticación previa AAA (opcional)
•
Configurando la Autenticación previa DNIS (opcional)
•
Configurando un temporizador del guardia (opcional)
•
Configurando el sufijo y la contraseña en las peticiones del acceso a RADIUS (opcionales)
•
Monitoreando y mantener el RADIUS (opcional)
Por los ejemplos de la configuración de RADIUS usando los comandos en este módulo, refiera a la sección de la sección los “ejemplos de configuración para RADIUS”.
Configurar al router a la comunicación del servidor de RADIUS El host RADIUS es normalmente un software de servidor de RADIUS corriente del sistema multiusos de Cisco (CiscoSecure ACS), de Livingston, Merit, de Microsoft, o de otro proveedor de software. Configurar al router a la comunicación del servidor de RADIUS puede tener varios componentes: •
Nombre de host o dirección IP
•
Puerto destino de la autenticación
•
Puerto destino que considera
•
Período de agotamiento del tiempo de espera
•
Valor de la retransmisión
•
Cadena dominante
Los servidores de seguridad RADIUS se identifican en base de su nombre de host o dirección IP, nombre de host y los números del puerto específicos UDP, o los números del puerto del dirección IP y específicos UDP. La combinación de la dirección IP y de número del puerto UDP crea un Identificador único, permitiendo que diversos puertos sean definidos individualmente como hosts RADIUS que proporcionan un servicio específico AAA. Es decir este Identificador único habilita los pedidos de RADIUS de ser enviado a los puertos múltiples UDP en un servidor en la misma dirección IP. Si dos entradas diferentes de host en el mismo servidor RADIUS se configuran para el mismo servicio -por ejemplo, contabilización- la segunda entrada de host configurada actúa como reserva de la primera. Si la primera entrada de host no puede proporcionar los servicios de las estadísticas, el servidor de acceso a la red intentará la segunda entrada de host configurada en el mismo dispositivo para los servicios que consideran. (Las entradas de host RADIUS se probarán en el orden en el que están configuradas.) Un servidor de RADIUS y un router Cisco utilizan una cadena de texto del secreto compartido para cifrar las contraseñas y para intercambiar las respuestas. Para configurar el RADIUS para utilizar los comandos security AAA, usted debe especificar el host que ejecuta la daemon de servidor de RADIUS y una cadena (dominante) secreta del texto que comparta con el router. El descanso, la retransmisión, y los valores de clave de encripción son configurables global para todos los servidores de RADIUS, sobre una base del por-servidor o en una cierta combinación de configuraciones globales y del por-servidor. Para aplicar estas configuraciones global a todos los servidores de RADIUS que comunican con el router, utilice los tres comandos global únicos: radius-server timeout radius-server retransmit, y radius-server key. Para aplicar estos valores en un servidor de RADIUS específico, utilice radius-server host el comando.
Notausted puede configurar el descanso global y del por-servidor, la retransmisión, y los comandos del valor de la clave simultáneamente en el mismo Access Server de la red de Cisco. Si las funciones globales y del por-servidor se configuran en un router, el temporizador del por-servidor, la retransmisión, y los comandos del valor de la clave reemplazan el temporizador global, la retransmisión, y los comandos del valor de la clave. Para configurar al router a la comunicación del servidor de RADIUS del servidor, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. radius-server host {hostname | ip-address} []auth-port port-numberdel []acct-port port-numberdel []timeout secondsdel []retransmit retriesdel []key string[alias {hostname | ip-address}] 4. radius-server key {0 string | 7 string | string} 5. radius-server retransmit retries 6. radius-server timeout seconds 7. radius-server deadtime minutes 8. exit PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Paso radius-server host {hostname | ip-address} [auth-port port3
Especifica la dirección IP o el nombre de host del host del servidor RADIUS remoto y asigna number] [acct-port port-number] los números de puerto de destino de la [timeout seconds] [retransmit autenticación y de estadísticas. retries] [key string] [alias { hostname | ip-address}] Example: Router(config)# radius-server host 10.45.1.2
Observeen este paso, el descanso, retransmisión, y los valores de clave de encripción son configuración sobre una base del por-servidor. • Utilice auth-port port-number los pares del palabra-argumento para configurar un puerto específico UDP en este servidor de RADIUS que se utilizará solamente para la autenticación. • Utilice acct-port port-number los pares del palabra-argumento para configurar un puerto específico UDP en este servidor de RADIUS que se utilizará solamente para considerar. • Utilice alias la palabra clave para configurar hasta ocho IP Addresses múltiples para el uso al referir a los servidores de RADIUS. • Para configurar al servidor de acceso a la red para reconocer más de una entrada de host se asoció a una sola dirección IP, relanzan este comando tantas veces cuanto sea necesario, aseegurandose que cada número del puerto UDP es diferente. Fije el descanso, retransmítalo, y los valores de clave de encripción para utilizar con el host específico RADIUS. • Si no se fija ningún descanso, se utiliza el valor global; si no, ingrese un valor en el rango a partir de la 1 a 1000. Si ningún retransmita se fija se utiliza el valor, el valor global; si no, ingrese un valor en el rango a partir de la 1 a 1000. Si no se especifica ninguna cadena dominante, se utiliza el valor global. Observela clave es una cadena de texto que debe hacer juego la clave de encripción usada en el servidor de RADIUS. Configure siempre la clave como el elemento más reciente radius-server host de la sintaxis de los comandos porque se ignoran los espacios principales, pero los espacios dentro y en del final de la clave se utilizan. Si usted utiliza los espacios en su clave, no incluya la clave en las comillas a menos que las comillas ellos mismos sean parte de la clave.
Paso radius-server key {0 string | 7 Especifica la cadena de texto del secreto string | string} 4 compartido usada entre el router y un servidor de RADIUS. Example: Router(config)# radius-server key myRaDIUSpassword
Observeen este paso, el valor de clave de encripción se configura global para todos los servidores de RADIUS.
•
Utilice 0 string la opción para
configurar un secreto compartido unencrypted. Utilice 7 string la opción para configurar un secreto compartido cifrado. Paso radius-server retransmit retries 5 Example: Router(config)# radius-server retransmit 25
Paso radius-server timeout seconds 6
Example: Router(config)# radius-server timeout 6
Especifica cuántas veces transmite el router cada pedido de RADIUS al servidor antes de abandonar (el valor por defecto es 3). Observeen este paso, el valor de la retransmisión se configura global para todos los servidores de RADIUS. Especifica por cuántos segundos espera un router una contestación a un pedido de RADIUS antes de retransmitir la petición. Observeen este paso, el valor de agotamiento del tiempo se configura global para todos los servidores de RADIUS.
Paso radius-server deadtime minutes 7
Especifica por cuántos minutos los pedidos la autenticación de RADIUS pasa un servidor de RADIUS que no está respondiendo a los pedidos de autenticación encima.
Paso exit 8
Vuelve al modo EXEC privilegiado.
Example:Example: Router(config)# radius-server deadtime 5
Example: Router(config)# exit
Configurar a un router para la comunicación Vendedor-propietaria del servidor de RADIUS Aunque un estándar de borrador IETF para el RADIUS especifique un método para comunicar la información vendedorpropietaria entre el servidor de acceso a la red y el servidor de RADIUS, algunos vendedores han ampliado el atributo de RADIUS fijado en una forma única. El software de Cisco IOS soporta un subconjunto de atributos de RADIUS patentados por el proveedor. Para configurar el RADIUS (si es vendedor-propietario o IETF en conformidad con el borrador), usted debe especificar el host que funciona con la daemon de servidor de RADIUS y la cadena de texto secreta que comparte con el dispositivo de Cisco. Usted debe especificar el host RADIUS y la cadena de texto del secreto usando radius-server los comandos. Para identificar que el servidor de RADIUS está utilizando una implementación vendedor-propietaria del RADIUS, utilice radius-server host non-standard el comando. los atributos Vendedor-propietarios no serán soportados a menos que usted utilice radius-server host non-standard el comando. Para configurar a un router para la comunicación vendedor-propietaria del servidor de RADIUS, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. radius-server vsa send [accounting | authentication] 4. radius-server host{hostname | ip-address} non-standard 5. radius-server key{0 string | 7 string | string} 6. exit PASOS DETALLADOS
Comando Paso enable 1
Example: Router> enable
Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso radius-server vsa send [ accounting | authentication] 3
Permite al servidor de acceso a la red para reconocer y para utilizar los VSA según lo definido por el atributo 26 RADIUS IETF.
Example: Router# configure terminal
Example: Router(config)# radius-server vsa send
Paso radius-server host {hostname | ip-address} non-standard 4
Especifica la dirección IP o el nombre de host del host del servidor RADIUS remoto y los identifica que está utilizando una
Example: Router(config)# radius-server implementación vendedor-propietaria del RADIUS. host host1 non-standard
Paso radius-server key {0 string | Especifica la cadena de texto del secreto 7 string | string} 5 compartido usada entre el router y el servidor de RADIUS vendedor-propietario. Example: Router(config)# radius-server key myRaDIUSpassword
Paso exit 6
• El router y el servidor de RADIUS utilizan esta cadena de texto para cifrar las contraseñas y para intercambiar las respuestas.
Vuelve al modo EXEC privilegiado.
Example: Router(config)# exit
Configurar a un router para ampliar la información de puerto del servidor de acceso a la red Hay algunas situaciones cuando el PPP o la autenticación de inicio de sesión ocurre en una interfaz que sea diferente de la interfaz en la cual la llamada sí mismo viene. Por ejemplo, en una llamada ISDN de V.120, el login o la autenticación PPP ocurre en una interfaz asincrónica virtual “ttt”, pero la llamada sí mismo ocurre en uno de los canales de la interfaz de ISDN. radius-server attribute nas-port extended Las configuraciones RADIUS del comando para ampliar los tamaños del atributo del NAS-puerto (campo del atributo RADIUS IETF 5) a 32 bits. Los 16 bits superiores del atributo del NAS-puerto visualizan el tipo y el número de la interfaz que controla; los 16 bits más bajos indican la interfaz que experimenta la autenticación. Para configurar a un router para ampliar la información del NAS-puerto, realice la tarea siguiente.
Observe radius-server attribute nas-port format el comando substituye radius-server extended-portnames el comando y radius-server attribute nas-port extended el comando. PASOS SUMARIOS 1. enable 2. configure terminal 3. radius-server configuration-nas 4. radius-server attribute nas-port extended 5. exit PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Paso radius-server configure-nas (Opcional) dice el router Cisco o el Access Server 3 preguntar al servidor de RADIUS para las Static Example: rutas y las definiciones de la agrupación IP usadas Router(config)# radiusen su dominio. server configure-nas Observeporque radius-server configurenas se utiliza el comando cuando el router Cisco empieza para arriba, él no tomará el efecto hasta que usted publique copy system:running config nvram:startupconfig un comando. Paso radius-server attribute nas-port format 4 Example: Router(config)# radiusserver attribute nas-port format
Paso exit 5
Example: Router(config)# exit
Amplía los tamaños del atributo del NAS-puerto a partir del 16 a 32 bits para visualizar la información extendida de la interfaz.
Vuelve al modo EXEC privilegiado.
Reemplazo del atributo del NAS-puerto por el atributo de RADIUS En las Plataformas con las interfaces múltiples (puertos) por el slot, la implementación del RADIUS de Cisco no proporcionará un atributo único del NAS-puerto que permita distinguir entre las interfaces. Por ejemplo, si un PRI dual está en el slot1, las llamadas en Serial1/0:1 y Serial1/1:1 aparecerán como NAS-puerto = 20101. Esto está debido a la limitación de 16 bits de los tamaños de campo asociada al atributo del NAS-puerto RADIUS IETF. En este caso, substituya el atributo del NAS-puerto por un VSA (atributo 26 RADIUS IETF). El Vendor ID de Cisco es 9, y el atributo del Cisco-NAS-puerto es el subtipo 2. VSA puede ser girado ingresando radius-server vsa send el comando. La información de puerto en este atributo se proporciona y se configura usando aaa nas port extended el comando. El atributo estándar del NAS-puerto (atributo RADIUS EL IETF 5) será enviado. Si usted no quisiera que esta información fuera enviada, usted puede suprimirla usando no radius-server attribute nas-port el comando. Después de que se configure este comando, el atributo estándar del NAS-puerto será enviado no más. Para substituir el atributo del NAS-puerto por el atributo 26 RADIUS IETF y visualizar la información extendida del campo, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. radius-server vsa send [accounting | authentication] 4. aaa nas port extended 5. exit PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Paso radius-server vsa send [ accounting | authentication] 3
Permite al servidor de acceso a la red para reconocer y para utilizar los atributos específicos del proveedor según lo definido por Example: Router(config)# radius-server el atributo 26 RADIUS IETF. vsa send
Paso aaa nas port extended 4
Amplía los tamaños del campo del NAS-puerto VSA a partir del 16 a 32 bits para visualizar la información extendida de la interfaz.
Paso exit 5
Vuelve al modo EXEC privilegiado.
Example: Router(config)# aaa nas port extended Example: Router(config)# exit
Configuración de Grupos de Servidores AAA Configurar el router para utilizar grupos de servidores AAA proporciona una manera de agrupar hosts de servidor existentes. Esto le permite seleccionar un subconjunto de los hosts servidores configurados y utilizarlos para un determinado servicio. Un grupo de servidores se utiliza conjuntamente con una lista global de host de servidor. El grupo de servidores enumera las direcciones IP de los hosts servidores seleccionados. Los grupos de servidores pueden también incluir las entradas del host múltiple para el mismo servidor, mientras cada entrada tenga un Identificador único. La combinación de una dirección IP y de un número de puerto UDP crea un identificador único, permitiendo que diversos puertos se definan individualmente como hosts RADIUS que proporcionan un servicio AAA específico. En otras palabras, este identificador único permite enviar las solicitudes RADIUS a puertos UDP diferentes de un servidor en la misma dirección IP. Si dos diversas entradas de host en el mismo servidor de RADIUS se configuran para el mismo servicio — por ejemplo, el considerar — la segunda entrada de host se configura que actúa como respaldo de la Conmutación por falla primer. Si la primera entrada de host no puede proporcionar los servicios de las estadísticas, el servidor de acceso a la red intentará la segunda entrada de host configurada en el mismo dispositivo para los servicios que consideran. (Las entradas de host RADIUS se probarán en el orden en el que están configuradas.) Para definir un host servidor con un nombre de grupo de servidores, ingrese los siguientes comandos en el modo de configuración global. El servidor mencionado debe existir en el modo de configuración global.
Prerrequisitos
Cada servidor en el grupo se debe definir previamente usando radius-server host el comando. PASOS SUMARIOS 1. enable 2. configure terminal 3. radius-server host {hostname | ip-address} []auth-port port-numberdel []acct-port port-numberdel []timeout secondsdel []retransmit retriesdel []key string[alias {hostname | ip-address}] 4. aaa group server {radius | tacacs+} group-name 5. server ip-address []auth-port port-numberdel []acct-port port-number 6. end PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso radius-server host {hostname | ipaddress} [auth-port port-number] [acct3
Especifica y define la dirección IP del host servidor antes de configurar al Grupo de servidores AAA.
Example: Router> enable
Example: Router# configure terminal
port port-number] [timeout seconds] [ retransmit retries] [key string] [alias {hostname | ip-address}] Example: Router(config)# radius-server host 10.45.1.2
Paso aaa group server {radius | tacacs+} group-name 4 Example: Router(config)# aaa group server radius group1
Paso server ip-address [auth-port portnumber] [acct-port port-number] 5 Example: Router(config-sg-radius)# server 172.16.1.1 acct-port 1616
• Ingrese su contraseña si se le pide que lo haga.
• Vea “configurando al router la sección a la comunicación del servidor de RADIUS” para más información sobre radiusserver host el comando. Define al Grupo de servidores AAA con un nombre del grupo. • Todos los miembros de un grupo deben ser el mismo tipo, es decir, RADIUS o TACACS+. Este comando pone al router en el modo de configuración del grupo de servidores. Asocia a un servidor de RADIUS determinado al grupo de servidores definido. • Cada servidor de seguridad es identificado por su dirección IP y el número del puerto UDP. • Relance este paso para cada servidor de RADIUS en el Grupo de servidores AAA.
Paso end 6
Example: Router(config-sg-radius)# end
Modo de configuración y devoluciones del grupo de servidores de las salidas al modo EXEC privilegiado.
Configurar a los Grupos de servidores AAA con Deadtime Después de que usted haya configurado un host servidor con Nombre del servidor, usted puede utilizar deadtime el comando de configurar cada servidor por el grupo de servidores. Configurar el deadtime dentro de un grupo de servidores permite que usted ordene el tráfico AAA para separar los grupos de servidores que tengan diversas características de funcionamiento. Configurar el deadtime no se limita a una configuración global. Un temporizador separado se asocia a cada host servidor en cada grupo de servidores. Por lo tanto, cuando un servidor se encuentra para ser insensible después de las retransmisiones y de los descansos numerosos, el servidor se asume para estar muerto. Los temporizadores asociados a cada host servidor en todos los grupos de servidores se accionan. Esencialmente, se marcan los temporizadores y los pedidos posteriores a un servidor (una vez que se asume para estar muerto) se dirigen a los temporizadores alternos, si están configurados. Cuando el servidor de acceso a la red recibe una contestación del servidor, marca y para todos los temporizadores configurados (si se ejecuta) para ese servidor en todos los grupos de servidores.
Si ha expirado el temporizador, el servidor al cual se asocia el temporizador se asume para estar vivo. Éste se convierte en el único servidor que se puede intentar para peticiones posteriores AAA usando los grupos de servidores a quienes el temporizador pertenece.
Observeporque un servidor tiene diversos temporizadores y puede tener diversos valores del deadtime configurados en los grupos de servidores, el mismo servidor puede, en el futuro, tener diversos estados (muertos y vivos) al mismo tiempo.
Observepara cambiar el estado de un servidor, usted debe comenzar y parar todos los temporizadores configurados en todos los grupos de servidores. Los tamaños del grupo de servidores serán aumentados levemente debido a la adición de nuevos temporizadores y del atributo del deadtime. El impacto total de la estructura depende del número y de los tamaños de los grupos de servidores y cómo los servidores se comparten entre los grupos de servidores en una configuración específica. Para configurar el deadtime dentro de un Grupo de servidores AAA, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa group server radius group 4. deadtime minutes 5. end PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 1
Ingresa en el modo de configuración global.
Example: Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Paso aaa group server radius Define a un grupo de servidores del tipo del RADIO y group 1 ingresa al modo de configuración del grupo de servidores. Example: Router(config)# aaa group server radius group1
Paso deadtime minutes 2
Example: Router(config-sgradius)# deadtime 1
Paso end 3
Example: Router(config-sgradius)# end
Las configuraciones y definen el valor del deadtime en los minutos. El deadtimedel grupo de servidor local de la nota reemplazará la configuración global. Si está omitido de la configuración de grupo del servidor local, el valor del deadtime será heredado de la lista maestra. Modo de configuración y devoluciones del grupo de servidores de las salidas al modo EXEC privilegiado.
Configurar la Autenticación previa AAA DNIS La Autenticación previa DNIS habilita la Autenticación previa en la configuración de la llamada basada en el número marcado. El número DNIS se envía directamente al servidor de seguridad cuando se recibe una llamada. Si es autenticada por el AAA, se valida la llamada. Para configurar la Autenticación previa DNIS, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa preauthorization
4. group {radius | tacacs+ | server-group} 5. dnis []passwordstring 6. end PASOS DETALLADOS
Comando o acción
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa preauthorization 3
Ingresa al modo de configuración de la autenticación previa AAA.
Paso group {radius | tacacs+ | server-group} 4
(Opcional) Selecciona el servidor de seguridad que se va a utilizar para las solicitudes de preautenticación AAA.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal Example: Router(config)# aaa preauthorization
Example: Router(configpreauth)# group radius
•
El valor predeterminado es RADIUS.
Paso dnis [password string] 5
Habilita la autenticación previa utilizando DNIS y especifica opcionalmente una contraseña para utilizar en paquetes de Acceso-Solicitud.
Paso end 6
Modo de configuración y devoluciones de la autenticación previa AAA de las salidas al modo EXEC privilegiado.
Example: Router(configpreauth)# dnis password dnispass Example: Router(config-preauth)# end
Configuración de la Selección del Grupo de Servidores AAA Basada en DNIS El Cisco IOS Software permite que usted asigne un número DNIS a un Grupo de servidores AAA determinado de modo que el grupo de servidores pueda procesar los pedidos del autenticación, autorización y contabilidad los usuarios que marcan adentro a la red usando ese DNIS determinado. Cualquier línea telefónica (un teléfono particular o una línea comercial T1/PRI) se puede asociar a varios números de teléfono. El número DNIS identifica el número al que se llamó para ponerse en contacto con usted. Por ejemplo, suponga que desea compartir el mismo número de teléfono con varios clientes, pero desea saber qué cliente llama antes de descolgar el auricular. Puede personalizar cómo responder al teléfono porque DNIS le permite saber qué cliente está llamando cuando contesta. Los routers Cisco con ISDN o módems internos pueden recibir el número DNIS. Estas funciones permiten que los usuarios asignen a diversos grupos de servidor de RADIUS para diversos clientes (es decir, diversos servidores de RADIUS para diversos números DNIS). Además, usando los grupos de servidores, usted puede especificar al mismo grupo de servidores para los servicios AAA o un grupo de servidor separado para cada servicio AAA. El Cisco IOS Software proporciona la flexibilidad para implementar los servicios de autenticación y de la contabilización de varias maneras: • Global: los servicios AAA se definen utilizando los comandos de la lista de acceso de la configuración global y se aplican en general a todas las interfaces de un servidor de acceso a la red específico. • Por la interfaz — Definen usando los comandos interface configuration y se aplican a los servicios AAA específicamente a la interfaz que es configurada en un servidor de acceso a la red específico. •
Mapping DNIS: puede utilizar DNIS para especificar un servidor AAA que suministre servicios AAA.
Porque cada uno de estos métodos de la configuración AAA se puede configurar simultáneamente, Cisco ha establecido una orden de preferencia de determinar qué servidor o grupos de servidores proporcionan los servicios AAA. El orden de preferencia es el siguiente: • Por el DNIS — Si usted configura al servidor de acceso a la red para utilizar el DNIS para identificar o para determinar qué grupo de servidores proporciona los servicios AAA, después este método toma la precedencia sobre cualquier método adicional de la selección AAA. • Por interfaz: si se configura el servidor de acceso a la red por interfaz con el fin de utilizar las listas de acceso para determinar cómo proporciona un servidor los servicios AAA, este método tiene prioridad sobre las listas de acceso AAA de configuración global existentes. • Global — Si usted configura al servidor de acceso a la red usando las Listas de acceso globales AAA para determinar cómo el servidor de seguridad proporciona los servicios AAA, este método tiene la menos precedencia.
Observeantes de configurar la selección de Grupo de servidores AAA basada en la característica DNIS, usted debe configurar la lista de hosts y de Grupos de servidores AAA del servidor de RADIUS. Vea la sección a la comunicación del servidor de RADIUS de las secciones el “configurar del router” y el “configurar sección de los Grupos de servidores AAA”. Para configurar el router para seleccionar a un AAA Server Group determinado basado en el DNIS del grupo de servidores, configure el mapping de DNIS. Para asociar a un grupo de servidores con un nombre del grupo con el número DNIS, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa dnis map enable 4. aaa dnis map dnis-numbergrupo de la autenticación PPP server-group-name 5. aaa dnis map dnis-numbergrupo de red de la autorización server-group-name 6. aaa dnis mapdnis-numberaccounting network[none | start-stop | stop-only] group server-group-name 7. exit PASOS DETALLADOS
Comando o acción Paso enable 1
Example: Router> enable
Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa dnis map enable 3
Habilita el mapping DNIS.
Paso aaa dnis map dnis-number authentication ppp group server4
Mapea un número DNIS a un grupo de servidores AAA definido; los servidores de este grupo de servidores se están utilizando para la autenticación.
Example: Router# configure terminal Example: Router(config)# aaa dnis map enable
group-name
Example: Router(config)# aaa dnis map 7777 authentication ppp group sg1
Paso aaa dnis map dnis-number authorization network group 5 server-group-name
Example: Router(config)# aaa dnis map 7777 authorization network group sg1
Paso aaa dnis map dnis-number accounting network [none | start6 stop | stop-only] group servergroup-name
Mapea un número DNIS a un grupo de servidores AAA definido; los servidores en este grupo de servidores se están utilizando para la autorización.
Mapea un número DNIS a un grupo de servidores AAA definido; los servidores de este grupo de servidores se están utilizando para la contabilización.
Example: Router(config)# aaa dnis map 8888 accounting network stop-only group sg2
Paso exit 7
Example: Router(config)# exit
Salidas modo de configuración global y devoluciones al modo EXEC privilegiado.
Configuración de la Autenticación Previa AAA Configurar la autenticación previa AAA con ISDN PRI o Señalización asociada al canal (CAS) permite que los proveedores de servicio manejen mejor los puertos usando sus soluciones existentes RADIUS y que manejen eficientemente el uso de los recursos compartidos de ofrecer el service-level agreements de diferenciación. Con ISDN PRI o CAS, la información sobre una llamada entrante está disponible para el servidor de acceso a la red (NAS) antes de que la llamada esté conectada. La información de la llamada disponible incluye el siguiente: •
El número DNIS, también designado número al que se llamó
•
El número del Calling Line Identification (CLID), también designado el número que llama
•
El tipo de llamada, también designado la capacidad portadora
La característica de la autenticación previa AAA permite que Cisco NAS decida — en base del número DNIS, del número CLID, o del tipo de llamada — si conectar una llamada entrante. (Con ISDN PRI, habilita la autenticación de usuario y la autorización antes de que se conteste una llamada. Con CAS, la llamada debe ser contestada; sin embargo, la llamada puede ser caída si la Autenticación previa falla.) Cuando una llamada entrante llega del Switch de red pública, pero antes de que está conectada, la autenticación previa AAA permite al NAS para enviar el número DNIS, el número CLID, y el tipo de llamada a un servidor de RADIUS para la autorización. Si el servidor autoriza la llamada, después el NAS valida la llamada. Si el servidor no autoriza la llamada, después el NAS envía un mensaje de la desconexión al Switch de red pública para rechazar la llamada. En caso que la aplicación de servidor de RADIUS llegue a ser inasequible o sea lenta responder, un temporizador del guardia se puede fijar en el NAS. Cuando expira el temporizador, el NAS utiliza un parámetro configurable para validar o para rechazar la llamada entrante que no tiene ninguna autorización. Los soportes de característica de la autenticación previa AAA el uso del atributo 44 por la aplicación de servidor de RADIUS y el uso de los atributos de RADIUS que se configuran en la Autenticación previa RADIUS perfilan para especificar el comportamiento de la Autenticación previa. Pueden también ser utilizados, por ejemplo, para especificar si la autenticación subsiguiente debe ocurrir y, si es así qué método de autentificación debe ser utilizado. Las restricciones siguientes se aplican a la autenticación previa AAA con ISDN PRI y CAS: • El atributo 44 está disponible para las llamadas de CAS solamente cuando se habilita la Autenticación previa o la distribución de recursos. •
El multilink de multichasis PPP (MMP) no está disponible con ISDN PRI.
• La autenticación previa AAA está disponible solamente en las Plataformas del Cisco AS5300, del Cisco AS5400, y del Cisco AS5800.
Observeantes de configurar la autenticación previa AAA, usted debe habilitar aaa new-model el comando y aseegurarse que la aplicación de la Autenticación previa que soporta se está ejecutando en un servidor de RADIUS en su red. Para configurar la autenticación previa AAA, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa preauthorization 4. group server-group 5. clid [if-avail | required] []accept-stop del []passwordstring 6. ctype [if-avail | required] []accept-stop del []passwordstring 7. dnis [if-avail | required] []accept-stop del []passwordstring 8. dnis bypass dnis-group-name 9. exit PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa preauthorization 3
Ingresa al modo de configuración de la autenticación previa AAA.
Paso group server-group 4
Especifica RADIUS AAA al grupo de servidores para utilizar para la Autenticación previa.
Paso clid [if-avail | required] [ accept-stop] [password string] 5
Llamadas de Preauthenticates en base del número CLID.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal Example: Router(config)# aaa preauthorization
Example: Router(config-preauth)# group sg2
Example: Router(config-preauth)# clid
required
Paso ctype [if-avail | required] [ accept-stop] [password string] 6
Llamadas de Preauthenticates en base del tipo de llamada.
Example: Router(config-preauth)# ctype required
Paso dnis [if-avail | required] [ accept-stop] [password string] 7
Llamadas de Preauthenticates en base del número DNIS.
Example: Router(config-preauth)# dnis required
Paso dnis bypass dnis-group-name 8
Especifica un grupo de números DNIS que sean desviados para la Autenticación previa.
Paso end 9
Modo de configuración y devoluciones de la Autenticación previa de las salidas al modo EXEC privilegiado.
Example: Router(config-preauth)# dnis bypass group1 Example: Router(config-preauth)# end
Configurar la Autenticación previa DNIS Para configurar la Autenticación previa DNIS, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa preauthorization 4. group {radius | tacacs+ | server-group} 5. dnis []passwordstring 6. end PASOS DETALLADOS
Comando Paso enable 1
Propósito Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga.
Example: Router> enable
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa preauthorization 3
Ingresa en el modo de autenticación previa de AAA.
Paso group {radius | tacacs+ | server-group} 4
(Opcional) Selecciona el servidor de seguridad que se va a utilizar para las solicitudes de preautenticación AAA.
Example: Router# configure terminal Example: Router(config)# aaa preauthorization
Example: Router(configpreauth)# group radius
•
El valor predeterminado es RADIUS.
Paso dnis [password string] 5
Habilita la autenticación previa utilizando DNIS y especifica opcionalmente una contraseña para utilizar en paquetes de Acceso-Solicitud.
Paso end 6
Modo de configuración y devoluciones de la autenticación previa AAA de las salidas al modo EXEC privilegiado.
Example: Router(configpreauth)# dnis password dnispass Example: Router(config-preauth)# end
Configuración de un Temporizador de Guardia Porque el tiempo de respuesta para la Autenticación previa y los pedidos de autenticación pueden variar, el temporizador del
guardia permite que usted controle la dirección de las llamadas. El temporizador del guardia comienza cuando el DNIS se envía al servidor de RADIUS. Si el NAS no recibe una respuesta del AAA antes de que expire el temporizador del guardia, valida o rechaza las llamadas en base de la configuración del temporizador. Para fijar un temporizador del guardia para validar o para rechazar una llamada en caso que el servidor de RADIUS no pueda responder a una petición de la autenticación o de la Autenticación previa, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. interface type number 4. isdn guard-timer milliseconds [on-expiry{accept | reject}] 5. call guard-timer milliseconds [on-expiry{accept | reject}] 6. end PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso interface type number 3
Ingresa en el modo de configuración de la interfaz.
Example: Router> enable
• Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Example: Router(config)# interface serial 1/0/0:23
Paso isdn guard-timer Fija un temporizador del guardia ISDN para validar o milliseconds [on-expiry { para rechazar una llamada en caso que el servidor 4 accept | reject}] de RADIUS no pueda responder a una petición de la Autenticación previa. Example: Router(config-if)# isdn guard-timer 8000 onexpiry reject
Paso call guard-timer Fija un temporizador del guardia de CAS para validar milliseconds [on-expiry { o para rechazar una llamada en caso que el servidor 5 accept | reject}] de RADIUS no pueda responder a una petición de la Autenticación previa. Example: Router(config-if)# call guard-timer 2000 onexpiry accept
Paso end 6
Example: Router(config-if)# end
Salidas modo de configuración de la interfaz y devoluciones al modo EXEC privilegiado.
Configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS El marcado de salida en gran escala elimina la necesidad de configurar los Mapas de marcado en cada NAS para cada destino. En lugar, usted puede crear los perfiles del sitio remoto que contienen los atributos de la llamada saliente en el servidor de AAA. El perfil es descargado por el NAS cuando el tráfico de paquetes requiere una llamada ser puesto a un sitio remoto. Usted puede configurar el nombre de usuario en el mensaje del pedido de acceso al RADIUS. El sufijo predeterminado del nombre de usuario, “- hacia fuera,” se añade al final del fichero al nombre de usuario. El formato para componer el atributo del nombre de usuario es la dirección IP más el sufijo configurado. Para proporcionar la capacidad de la configuración del nombre de usuario para el marcado de salida en gran escala, dialer aaa el comando se implementa con el nuevo suffix y password las palabras claves. Para configurar el sufijo y la contraseña en las peticiones del acceso a RADIUS, realice la tarea siguiente. PASOS SUMARIOS 1. enable 2. configure terminal 3. aaa new-model 4. aaa route download time
5. aaa authorization configuration default 6. interfacemarcador number 7. dialer aaa 8. dialer aaa suffix suffix password password 9. exit PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso aaa new-model 3
Habilita el modelo del control de acceso AAA.
Paso aaa route download time 4
Habilita la característica de la Static ruta de la descarga y fija la cantidad de tiempo entre las descargas.
Paso aaa authorization configuration default 5
Información de la configuración de la Static ruta de las descargas del servidor de AAA usando el TACACS+ o el RADIUS.
• Ingrese su contraseña si se le pide que lo haga.
Example: Router> enable
Example: Router# configure terminal Example: Router(config)# aaa new-model Example: Router(config)# aaa route download 450
Example: Router(config)# aaa authorization configuration default
Paso interface dialer number 6
Define un grupo rotativo de marcadores e
Paso dialer aaa 7
Permite que un marcador acceda al servidor AAA para obtener la información de marcado.
Paso dialer aaa suffix suffix password password 8
Permite que un marcador acceda el servidor de AAA para la Información de marcado y especifica un sufijo y una contraseña para autenticación del nondefault.
ingresa el modo de configuración de la Example: Router(config)# interface dialer interfaz. 1 Example: Router(config-if)# dialer aaa
Example: Router(config-if)# dialer aaa suffix @samp password password12
Paso exit 9
Salidas modo de configuración de la interfaz y devoluciones al modo EXEC privilegiado.
Example: Router(config-if)# exit
Monitoreo y Mantenimiento de RADIUS Para monitorear y mantener el RADIUS, utilice los siguientes comandos. PASOS SUMARIOS 1. enable 2. debug radius 3. show radius statistics 4. show aaa servers 5. exit PASOS DETALLADOS
Comando Paso enable 1
Example: Router> enable debug radius
Propósito Habilita el modo EXEC privilegiado. •
Ingrese su contraseña si se le pide que lo haga.
Paso 2
Muestra la información relacionada con RADIUS. Example: Router# debug radius
Paso show radius statistics 3
Visualiza las estadísticas RADIUS para considerar y los paquetes de autenticación.
Example: Router# show radius statistics
Paso show aaa servers 4
Visualiza el estatus y el número de paquetes a los cuales se envíen y se reciban de todos los servidores del público y del soldado RADIUS AAA según lo interpretado por el servidor de AAA MIB.
Paso exit 5
Sale a la sesión de router.
Example: Router# show aaa servers
Example: Router# exit
Ejemplos de configuración para el RADIUS •
Ejemplo: Autenticación de RADIUS y autorización
•
Ejemplo: Autenticación de RADIUS, autorización, y estadísticas
•
Ejemplo: Configuración de RADIUS Vendedor-propietaria
•
Ejemplo: Servidor de RADIUS con los valores Servidor-específicos
•
Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos
•
Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor
•
Ejemplo: Grupo de servidor de RADIUS
•
Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA
•
Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS
•
Ejemplo: Autenticación previa AAA
•
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS
•
Ejemplo: Temporizador del guardia
Ejemplo: Autenticación de RADIUS y autorización El ejemplo siguiente muestra cómo configurar el router para autenticar y para autorizar el uso de RADIUS: aaa authentication login use-radius group radius local aaa authentication ppp user-radius if-needed group radius aaa authorization exec default group radius aaa authorization network default group radius
Las líneas de esta configuración de autenticación y autorización RADIUS de ejemplo se definen como sigue: • aaa authentication login use-radius group radius local El comando configura al router para utilizar RADIUS para la autenticación en el prompt de inicio de sesión. Si RADIUS devuelve un error, el usuario se autentica con la base de datos local. En este ejemplo, use-radius es el nombre de la lista de métodos, que especifica el RADIUS y entonces la autenticación local. • aaa authentication ppp user-radius if-needed group radius El comando configura el Cisco IOS Software para utilizar la autenticación de RADIUS para uso en línea el PPP con la GRIETA o el PAP si no han autorizado al usuario ya. Si el recurso del EXEC ha autenticado al usuario, la autenticación de RADIUS no se realiza. En este ejemplo, user-radius es el nombre de la lista de métodos que define el RADIUS como el método de autentificación si-necesario. • aaa authorization exec default group radius Los comandos estableces la información de RADIUS que se utiliza para la autorización de EXEC, los autocommands, y las Listas de acceso. • aaa authorization network default group radius Los comandos estableces RADIUS para la Autorización de red, la asignación de dirección, y las Listas de acceso.
Ejemplo: Autenticación de RADIUS, autorización, y estadísticas El siguiente ejemplo muestra una Configuración general usando el RADIUS con el comando aaa fijado: radius-server host 10.45.1.2
radius-server key myRaDiUSpassWoRd username root password ALongPassword aaa authentication ppp dialins group radius local aaa authorization network default group radius local aaa accounting network default start-stop group radius aaa authentication login admins local aaa authorization exec default local line 1 16 autoselect ppp autoselect during-login login authentication admins modem ri-is-cd interface group-async 1 encaps ppp ppp authentication pap dialins
Las líneas de esta configuración de autenticación, autorización y contabilización RADIUS de ejemplo se definen como sigue: •
radius-server host El comando define la dirección IP del host del servidor de RADIUS.
• radius-server key El comando define la cadena de texto del secreto compartido entre el servidor de acceso a la red y el host del servidor de RADIUS. • aaa authentication ppp dialins group radius local El comando define la lista “dialins del método de autentificación,” que especifica esa autenticación de RADIUS y después (si no responde el servidor de RADIUS) autenticación local será utilizado en las líneas seriales usando el PPP. • aaa authorization network default group radius local Se utiliza el comando de asignar un direccionamiento y otros parámetros de red al usuario de RADIUS. •
aaa accounting network default start-stop group radius El comando sigue el uso PPP.
• aaa authentication login admins local El comando define otra lista de métodos, los “admins,” para la autenticación de inicio de sesión. • login authentication admins El comando aplica la lista de métodos de los “admins” para la autenticación de inicio de sesión. •
ppp authentication pap dialins El comando aplica la lista de métodos de los “dialins” a las líneas especificadas.
Ejemplo: Configuración de RADIUS Vendedor-propietaria El siguiente ejemplo muestra una Configuración general usando el RADIUS vendedor-propietario con el comando aaa fijado: radius-server host host1 non-standard radius-server key myRaDiUSpassWoRd radius-server configure-nas username root password ALongPassword aaa authentication ppp dialins group radius local aaa authorization network default group radius local aaa accounting network default start-stop group radius aaa authentication login admins local aaa authorization exec default local line 1 16
autoselect ppp autoselect during-login login authentication admins modem ri-is-cd interface group-async 1 encaps ppp ppp authentication pap dialins
Las líneas en esta autenticación de RADIUS, autorización, y ejemplo de configuración de las estadísticas se definen como sigue: • radius-server host non-standard El comando define el nombre del host del servidor de RADIUS y lo identifica que este host RADIUS utiliza una versión vendedor-propietaria del RADIUS. • radius-server key El comando define la cadena de texto del secreto compartido entre el servidor de acceso a la red y el host del servidor de RADIUS. • radius-server configure-nas El comando define que el router Cisco o el Access Server preguntará al servidor de RADIUS para las Static rutas y las definiciones de la agrupación IP cuando el dispositivo primero empieza para arriba. • aaa authentication ppp dialins group radius local El comando define la lista “dialins del método de autentificación,” que especifica esa autenticación de RADIUS, y entonces (si no responde el servidor de RADIUS) la autenticación local será utilizada en las líneas seriales usando el PPP. • aaa authorization network default group radius local Se utiliza el comando de asignar un direccionamiento y otros parámetros de red al usuario de RADIUS. •
aaa accounting network default start-stop group radius El comando sigue el uso PPP.
• aaa authentication login admins local El comando define otra lista de métodos, los “admins,” para la autenticación de inicio de sesión. • login authentication admins El comando aplica la lista de métodos de los “admins” para la autenticación de inicio de sesión. •
ppp authentication pap dialins El comando aplica la lista de métodos de los “dialins” a las líneas especificadas.
Ejemplo: Servidor de RADIUS con los valores Servidor-específicos Las demostraciones del siguiente ejemplo cómo configurar el descanso servidor-específico, retransmiten, y los valores de la clave para el servidor de RADIUS con la dirección IP 172.31.39.46: radius-server host 172.31.39.46 timeout 6 retransmit 5 key rad123
Ejemplo: Servidores de RADIUS múltiples con los valores globales y Servidor-específicos Las demostraciones del siguiente ejemplo cómo configurar a dos servidores de RADIUS con el descanso específico, retransmiten, y los valores de la clave. En este ejemplo, aaa new-model el comando habilita los servicios AAA en el router, y los comandos aaa específicos definen los servicios AAA. radius-server retransmit El comando cambia el valor global de la retransmisión a 4 para todos los servidores de RADIUS. radius-server host El comando configura el descanso, la retransmisión, y los valores de la clave específicos para los hosts del servidor de RADIUS con los IP Addresses 172.16.1.1 y 172.29.39.46. ! Enable AAA services on the router and define those services. aaa new-model aaa authentication login default group radius aaa authentication login console-login none aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting exec default start-stop group radius aaa accounting network default start-stop group radius enable password tryit1 !
! Change the global retransmission value for all RADIUS servers. radius-server retransmit 4 ! ! Configure per-server specific timeout, retransmission, and key values. ! Change the default auth-port and acct-port values. radius-server host 172.16.1.1 auth-port 1612 acct-port 1616 timeout 3 retransmit 3 key radkey ! ! Configure per-server specific timeout and key values. This server uses the global ! retransmission value. radius-server host 172.29.39.46 timeout 6 key rad123
Ejemplo: Entradas múltiples del servidor de RADIUS para el mismo dirección IP del servidor Las demostraciones del siguiente ejemplo cómo configurar al servidor de acceso a la red para reconocer varias entradas de host RADIUS con la misma dirección IP. Dos diversas entradas de host en el mismo servidor de RADIUS se configuran para los mismos servicios — autenticación y las estadísticas. La segunda entrada de host configurada actúa como respaldo de la Conmutación por falla primer. (Las entradas de host RADIUS se probarán en el orden en el que están configuradas.) ! This command enables AAA. aaa new-model ! The next command configures default RADIUS parameters. aaa authentication ppp default group radius ! The next set of commands configures multiple host entries for the same IP address. radius-server host 172.20.0.1 auth-port 1000 acct-port 1001 radius-server host 172.20.0.1 auth-port 2000 acct-port 2000
Ejemplo: Grupo de servidor de RADIUS El siguiente ejemplo muestra cómo crear el grupo de servidores radgroup1 con tres diversos miembros del servidor de RADIUS, cada uno usando el puerto de la autenticación predeterminada (1645) y el puerto de contabilidad (1646): aaa group server radius radgroup1 server 172.16.1.11 server 172.17.1.21 server 172.18.1.31
El siguiente ejemplo muestra cómo crear el grupo de servidores radgroup2 con tres miembros del servidor de RADIUS, cada uno con la misma dirección IP pero con la autenticación única y los puertos de contabilidad: aaa group server radius radgroup2 server 172.16.1.1 auth-port 1000 acct-port 1001 server 172.16.1.1 auth-port 2000 acct-port 2001 server 172.16.1.1 auth-port 3000 acct-port 3001
Ejemplo: Entradas múltiples del servidor de RADIUS usando los Grupos de servidores AAA Las demostraciones del siguiente ejemplo cómo configurar al servidor de acceso a la red para reconocer a dos diversos grupos de servidor de RADIUS. Uno de estos grupos, group1, tiene dos diversas entradas de host en el mismo servidor de RADIUS configurado para los mismos servicios. La segunda entrada de host configurada actúa como respaldo de la Conmutación por falla primer. Configuran a cada grupo individualmente para el deadtime; el deadtime para el group1 es uno minucioso, y el deadtime para el group2 es dos minutos.
Observeen caso de que los comandos global y utilizan a los comandos server, el comando server toma la precedencia sobre el comando global. ! This command enables AAA. aaa new-model ! The next command configures default RADIUS parameters. aaa authentication ppp default group group1 ! The following commands define the group1 RADIUS server group and associate servers ! with it and configures a deadtime of one minute. aaa group server radius group1 server 10.1.1.1 auth-port 1645 acct-port 1646 server 10.2.2.2 auth-port 2000 acct-port 2001 deadtime 1 ! The following commands define the group2 RADIUS server group and associate servers ! with it and configures a deadtime of two minutes. aaa group server radius group2 server 10.2.2.2 auth-port 2000 acct-port 2001 server 10.3.3.3 auth-port 1645 acct-port 1646 deadtime 2 ! The following set of commands configures the RADIUS attributes for each host entry ! associated with one of the defined server groups. radius-server host 10.1.1.1 auth-port 1645 acct-port 1646 radius-server host 10.2.2.2 auth-port 2000 acct-port 2001 radius-server host 10.3.3.3 auth-port 1645 acct-port 1646
Ejemplo: Selección de Grupo de servidores AAA basada en el DNIS Las demostraciones del siguiente ejemplo cómo seleccionar a los grupos de servidor de RADIUS basados en el DNIS para proporcionar los servicios específicos AAA: ! This command enables AAA. aaa new-model ! ! The following set of commands configures the RADIUS attributes for each server ! that will be associated with one of the defined server groups. radius-server host 172.16.0.1 auth-port 1645 acct-port 1646 key cisco1 radius-server host 172.17.0.1 auth-port 1645 acct-port 1646 key cisco2 radius-server host 172.18.0.1 auth-port 1645 acct-port 1646 key cisco3 radius-server host 172.19.0.1 auth-port 1645 acct-port 1646 key cisco4 radius-server host 172.20.0.1 auth-port 1645 acct-port 1646 key cisco5
! The following commands define the sg1 RADIUS server group and associate servers ! with it.
aaa group server radius sg1 server 172.16.0.1 server 172.17.0.1 ! The following commands define the sg2 RADIUS server group and associate a server ! with it. aaa group server radius sg2 server 172.18.0.1 ! The following commands define the sg3 RADIUS server group and associate a server ! with it. aaa group server radius sg3 server 172.19.0.1 ! The following commands define the default-group RADIUS server group and associate ! a server with it. aaa group server radius default-group server 172.20.0.1
! The next set of commands configures default-group RADIUS server group parameters. aaa authentication ppp default group default-group aaa accounting network default start-stop group default-group ! ! ! ! ! ! ! ! ! !
The next set of commands enables DNIS mapping and maps DNIS numbers to the defined RADIUS server groups. In this configuration, all PPP connection requests using DNIS 7777 are sent to the sg1 server group. The accounting records for these connections (specifically, start-stop records) are handled by the sg2 server group. Calls with a DNIS of 8888 use server group sg3 for authentication and server group default-group for accounting. Calls with a DNIS of 9999 use server group default-group for authentication and server group sg3 for accounting records (stop records only). All other calls with DNIS other than the ones defined use the server group default-group for both authentication and stop-start accounting records.
aaa dnis map enable aaa dnis map 7777 authentication ppp group sg1 aaa dnis map 7777 accounting network start-stop group sg2 aaa dnis map 8888 authentication ppp group sg3 aaa dnis map 9999 accounting network stop-only group sg3
Ejemplo: Autenticación previa AAA Lo que sigue es una Configuración simple que especifica que el número DNIS esté utilizado para la Autenticación previa: aaa preauthentication group radius dnis required
El siguiente ejemplo muestra que una configuración que especifica que el número DNIS y el CLID numeran esté utilizado para la Autenticación previa. La Autenticación previa DNIS será realizada primero, seguido por la Autenticación previa CLID. aaa preauthentication group radius
dnis required clid required
El siguiente ejemplo especifica que la Autenticación previa esté realizada en todos los números DNIS a menos que los dos números DNIS especificados en el grupo DNIS llamaran el "dnis-group1": aaa preauthentication group radius dnis required dnis bypass dnis-group1
dialer dnis group dnis-group1 number 12345 number 12346
Lo que sigue es una configuración AAA de la muestra con la Autenticación previa DNIS: aaa new-model aaa authentication login CONSOLE none aaa authentication login RADIUS_LIST group radius aaa authentication login TAC_PLUS group tacacs+ enable aaa authentication login V.120 none aaa authentication enable default enable group tacacs+ aaa authentication ppp RADIUS_LIST if-needed group radius aaa authorization exec RADIUS_LIST group radius if-authenticated aaa authorization exec V.120 none aaa authorization network default group radius if-authenticated aaa authorization network RADIUS_LIST if-authenticated group radius aaa authorization network V.120 group radius if-authenticated aaa accounting suppress null-username aaa accounting exec default start-stop group radius aaa accounting commands 0 default start-stop group radius aaa accounting network default start-stop group radius aaa accounting connection default start-stop group radius aaa accounting system default start-stop group radius aaa preauthentication dnis password Cisco-DNIS aaa nas port extended ! radius-server configure-nas
radius-server host 10.0.0.0 auth-port 1645 acct-port 1646 non-standard radius-server host 10.255.255.255 auth-port 1645 acct-port 1646 non-standard radius-server retransmit 2 radius-server deadtime 1 radius-server attribute nas-port format c radius-server unique-ident 18 radius-server key MyKey
Observepara configurar la Autenticación previa, usted debe también configurar los perfiles de la Autenticación previa en el servidor de RADIUS.
Ejemplo: Perfil del usuario de RADIUS con los atributos del Tunelización RADIUS El siguiente ejemplo muestra un perfil del usuario de RADIUS (formato de la daemon del Merit) que incluya los atributos del Tunelización RADIUS. Esta entrada soporta dos túneles, uno para L2F y otro para L2TP. Las entradas de etiquetas con túneles L2F de soporte :1 y entradas de etiquetas con: Túneles L2TP con soporte 2. cisco.com Password = "PASSWORD3", Service-Type = Outbound Service-Type = Outbound, Tunnel-Type = :1:L2F, Tunnel-Medium-Type = :1:IP, Tunnel-Client-Endpoint = :1:"10.0.0.2", Tunnel-Server-Endpoint = :1:"10.0.0.3", Tunnel-Client-Auth-Id = :1:"l2f-cli-auth-id", Tunnel-Server-Auth-Id = :1:"l2f-svr-auth-id", Tunnel-Assignment-Id = :1:"l2f-assignment-id", Cisco-Avpair = "vpdn:nas-password=l2f-cli-pass", Cisco-Avpair = "vpdn:gw-password=l2f-svr-pass", Tunnel-Preference = :1:1, Tunnel-Type = :2:L2TP, Tunnel-Medium-Type = :2:IP, Tunnel-Client-Endpoint = :2:"10.0.0.2", Tunnel-Server-Endpoint = :2:"10.0.0.3", Tunnel-Client-Auth-Id = :2:"l2tp-cli-auth-id", Tunnel-Server-Auth-Id = :2:"l2tp-svr-auth-id", Tunnel-Assignment-Id = :2:"l2tp-assignment-id", Cisco-Avpair = "vpdn:l2tp-tunnel-password=l2tp-tnl-pass", Tunnel-Preference = :2:2
Ejemplo: Temporizador del guardia El siguiente ejemplo muestra un temporizador del guardia ISDN que se fije en 8000 milisegundos. Una llamada será rechazada si el servidor de RADIUS no ha respondido a una petición de la Autenticación previa cuando expira el temporizador. interface serial 1/0/0:23 isdn guard-timer 8000 on-expiry reject
aaa preauthentication group radius dnis required
El siguiente ejemplo muestra un temporizador del guardia de CAS que se fije en 20.000 milisegundos. Una llamada será validada si el servidor de RADIUS no ha respondido a una petición de la Autenticación previa cuando expira el temporizador. controller T1 0 framing esf clock source line primary linecode b8zs ds0-group 0 timeslots 1-24 type e&m-fgb dtmf dnis cas-custom 0 call guard-timer 20000 on-expiry accept
aaa preauthentication group radius dnis required
Referencias adicionales Documentos Relacionados Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
AAA y comandos radius
Referencia de Comandos de Seguridad de Cisco IOS
Atributos de RADIUS
La “descripción y el RADIUS IETF de los atributos de RADIUS atribuye” el módulo
AAA
•
“Configurando módulo de la autenticación”
•
“Configurando módulo de la autorización”
•
“Configurando módulo de las estadísticas”
L2F, L2TP, VPN, o VPDN
Tecnologías de marcación guía de configuración del Cisco IOS y guía de configuración de VPDN del Cisco IOS
Configuración del módem y Administración
Guía de Configuración de las Tecnologías de Marcado de Cisco IOS
Identificación de puerto RADIUS para el PPP
Guía de Configuración de redes de área ancha del Cisco IOS
Estándares Estándar
Título
Ninguno
—
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: http://www.cisco.com/go/mibs
RFC RFC
Título
RFC 2139 Contabilización RADIUS RFC 2865 Remote Authentication Dial-In User Service (RADIUS) RFC 2867 Modificaciones de las estadísticas RADIUS para el soporte del Tunnel Protocol RFC 2868 Atributos de RADIUS para soporte a protocolo de túnel
Asistencia Técnica Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.
Información de la característica para configurar el RADIUS El cuadro 16 enumera el historial de la versión para esta característica. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 16 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.
Nombre de la función Configurar el RADIUS
Versiones Información sobre la Función 11,1
El sistema de seguridad RADIUS es un cliente/un sistema del servidor distribuidos que asegura las redes contra el acceso no autorizado. En la implementación de Cisco, los clientes RADIUS se ejecutan en los Cisco Routers y envían solicitudes de autenticación a un servidor RADIUS central que contenga toda la información de acceso de la autenticación de usuario y del servicio de red. El RADIUS es completamente un protocolo abierto, distribuido en el formato del código fuente, que se puede modificar para trabajar con cualquier sistema de seguridad actualmente disponible. Esta característica fue introducida en el Cisco IOS Release 11.1.
Estadísticas del radio vía el SNMP
15.1(1)S Esta característica proporciona las estadísticas relacionadas con los el 15.1(4)M servidores de RADIUS del tráfico de RADIUS y del soldado. La sección siguiente proporciona la información sobre esta característica: •
Monitoreo y Mantenimiento de RADIUS
Se han modificado los siguientes comandos: muestre los servidores aaa show radius statistics.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito. Cisco Systems, Inc. 1998-2011 del © Todos los derechos reservados.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074124_sec_cfg_radius_ps6922_TSD_Products_Configuration_Guide_Chapter.html