Проблема при авторизации на коммутаторе с использованием Radius.
Имеется коммутатор:
------------------------------------------------------
Device Type : DES-3200-10 Fast Ethernet Switch
MAC Address : F0-7D-68-A4-BD-FC
IP Address : 192.168.16.157 (Manual)
VLAN Name : management
Subnet Mask : 255.255.255.192
Default Gateway : 192.168.16.129
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.50.B006
Hardware Version : A1
Serial Number : PVI31A9000686
-------------------------------------------------------
При попытке логина появляется сообщение:
"Timeout or some unexpected error happened on server host(<A.B.C.D>/RADIUS)!
The next server host or next method will be used to do authentication, if any."
И коммутатор меняет метод аутентификации.
При этом на радиусе мы видим следующее:
--------------------------------------------------------------------------------
rad_recv: Access-Request packet from host 192.168.16.157:1038, id=117, length=74
User-Name = "nv"
User-Password = "\377.m\262\3363\270\226u\315\225\014\222\356\247\244"
NAS-IP-Address = 192.168.16.157
NAS-Identifier = "D-Link"
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
rlm_sql (sql): Reserving sql socket id: 0
rlm_sql (sql): Released sql socket id: 0
rad_recv: Access-Request packet from host 192.168.16.157:1038, id=117, length=74
Sending Access-Reject of id 117 to 192.168.16.157 port 1038
--------------------------------------------------------------------------------
Пароль передается в неизвестной кодировке, хотя должен передаваться в виде plain-text.
Radius честно отсылает Access-Reject, который коммутатор не воспринимает по неизвестной причине.
Авторизационная часть конфига коммутатора:
--------------------------------------------------------------------------------------------------------------
create authen server_host <A1.B1.C1.D1> protocol radius port 1812 key "itsaverylongkey" timeout 5 retransmit 2
config authen server_group radius delete server_host <A1.B1.C1.D1> protocol radius
create authen server_host <A2.B2.C2.D2> protocol radius port 1812 key "itsaverylongkey" timeout 5 retransmit 2
config authen server_group radius delete server_host <A2.B2.C2.D2> protocol radius
config authen server_group radius add server_host <A1.B1.C1.D1> protocol radius
config authen server_group radius add server_host <A2.B2.C2.D2> protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login method_list_name rad_ext
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 0
config authen parameter attempt 3
enable authen_policy
config admin local_enable
------------------------------------------------------------------------------------------------------------
При этом есть коммутаторы которые авторизуют без каких-либо проблем.
Например:
-----------------------------------------------------
Device Type : DES-3200-10 Fast Ethernet Switch
MAC Address : F0-7D-68-A5-76-E8
IP Address : 192.168.16.156 (Manual)
VLAN Name : management
Subnet Mask : 255.255.255.192
Default Gateway : 192.168.16.129
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.50.B006
Hardware Version : A1
Serial Number : PVI31A9002209
------------------------------------------------------
Как видно прошивка полностью идентична
Лог радиуса:
--------------------------------------------------------------------------------
rad_recv: Access-Request packet from host 192.168.16.156:1027, id=144, length=74
User-Name = "nv"
User-Password = "12345678"
NAS-IP-Address = 192.168.16.156
NAS-Identifier = "D-Link"
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
rlm_sql (sql): Reserving sql socket id: 4
rlm_sql (sql): Released sql socket id: 4
rlm_sql (sql): Processing sql_postauth
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql (sql): Released sql socket id: 3
Sending Access-Accept of id 144 to 192.168.16.156 port 1027
dlink-Privelege-Level = 5
--------------------------------------------------------------------------------
Авторизационная часть конфига коммутатора:
-------------------------------------------------------------------------------------------------------------
create authen server_host <A1.B1.C1.D1> protocol radius port 1812 key "itsaverylongkey" timeout 5 retransmit 2
config authen server_group radius delete server_host <A1.B1.C1.D1> protocol radius
create authen server_host <A2.B2.C2.D2> protocol radius port 1812 key "itsaverylongkey" timeout 5 retransmit 2
config authen server_group radius delete server_host <A2.B2.C2.D2> protocol radius
config authen server_group radius add server_host <A1.B1.C1.D1> protocol radius
config authen server_group radius add server_host <A2.B2.C2.D2> protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login method_list_name rad_ext
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 0
config authen parameter attempt 3
enable authen_policy
config admin local_enable
-------------------------------------------------------------------------------------------------------------
Конфигурации одинаковы.
Вход
Регистрация
FAQ
Поиск
