1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 06, 2025 11:11

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
comtel-b.ru
 Заголовок сообщения: Аутентификация через RADIUS
СообщениеДобавлено: Чт авг 13, 2015 20:23 
Не в сети

Зарегистрирован: Чт апр 24, 2008 11:50
Сообщений: 335
Подскажите, каким атрибутом задать уровень привелегий при аутентификации пользователей на DGS-3610-26G и DXS-3600-32s через радиус?
Конфиг freeradius:
Код:
admin SHA-Password := "YmNmZjZkZTVkNDg1MTg4NWE2MTIwNmNiNTQ2ZmZiM2Y0MjkyNTQ1Nw=="
 cisco-avpair = "shell:priv-lvl=15",
 Dlink-User-Level = 5,

Пользватели доступ получают, но привелегий у них никаких нет.
На остальных длинковских коммутаторах все ОК.
Вернуться наверх
 Профиль  
 
comtel-b.ru
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Пн авг 17, 2015 10:12 
Не в сети

Зарегистрирован: Чт апр 24, 2008 11:50
Сообщений: 335
И еще вопрос! Можно ли задать source_ip для радиус-запросов по аналогии с trap и syslog?
Вернуться наверх
 Профиль  
 
comtel-b.ru
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Чт авг 20, 2015 19:50 
Не в сети

Зарегистрирован: Чт апр 24, 2008 11:50
Сообщений: 335
comtel-b.ru писал(а):
Подскажите, каким атрибутом задать уровень привелегий при аутентификации пользователей на DGS-3610-26G и DXS-3600-32s через радиус?
Конфиг freeradius:
Код:
admin SHA-Password := "YmNmZjZkZTVkNDg1MTg4NWE2MTIwNmNiNTQ2ZmZiM2Y0MjkyNTQ1Nw=="
 cisco-avpair = "shell:priv-lvl=15",
 Dlink-User-Level = 5,

Пользватели доступ получают, но привелегий у них никаких нет.
На остальных длинковских коммутаторах все ОК.

Это какая-то нерешаемая проблема?
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Пт авг 28, 2015 00:57 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
2. В конфигурационный файл /etc/raddb/dictionary добавляем следующую строчку:

$INCLUDE /etc/raddb/dictionary.dlink

3. Соответственно, создаем файл /etc/raddb/dictionary.dlink со следующим содержимым:

VENDOR dlink 171

BEGIN-VENDOR dlink

ATTRIBUTE dlink-Privelege-Level 1 integer

END-VENDOR dlink



# test01 Cleartext-Password := "test01sd"
# Service-Type = Login-User,
# dlink-Privelege-Level = 5,
# Cisco-AVPair := "shell:priv-lvl=15"

3610 не юзал. на остальных работало. запустите фрирадиус с детальным логированием и посмотрите какие атрибуты запрашиваются
Вернуться наверх
 Профиль  
 
Vans2
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Пт авг 28, 2015 20:35 
Не в сети

Зарегистрирован: Пт авг 28, 2015 20:31
Сообщений: 4
На остальных это работает.
Проблема именно c DGS-3610 и DXS-3600. Пользователь по радиусу проходит аутентификацию, но прав никаких нет.
Как таки сделать, чтоб пользователь аутентифицировался через радиус и сразу с правами администратора на этих моделях?
Вернуться наверх
 Профиль  
 
Vans2
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:25 
Не в сети

Зарегистрирован: Пт авг 28, 2015 20:31
Сообщений: 4
Господа из Длинка, неужели такой простой на первый взгляд вопрос нельзя решить?
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:28 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Вы уверены в правильности настройки своих свичей? Выложите часть конфига, относящегося к aaa
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:30 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Vans2 писал(а):
На остальных это работает.
Проблема именно c DGS-3610 и DXS-3600. Пользователь по радиусу проходит аутентификацию, но прав никаких нет.


Конечно, нет. и не будет. Права определяются после процедуры авторизации, а не аутентификации
Вернуться наверх
 Профиль  
 
Vans2
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:35 
Не в сети

Зарегистрирован: Пт авг 28, 2015 20:31
Сообщений: 4
Вот для DXS:
Код:
aaa authentication login LIST1 radius local
aaa authentication mode chain

line console
login authentication LIST1
exit

line telnet
login authentication LIST1
exit

line ssh
login authentication LIST1
exit

ip http authentication aaa login-authentication radius local
ip ftp authentication aaa login-authentication radius local

radius-server host хх.хх.104.2 auth-port 1814 timeout 5 retransmit 3 priority 1 usage login key ххх


Зайти под пользователем из радиуса я могу, но у него нет привелегий.

Вот вырезка из конфига радиуса:
Код:
admin SHA-Password := "YmNmZjZkZTVkNDg1MTg4NWE2MTIwNmNiNTQ2ZmZiM2Y0MjkyNTQ1Nw=="
 Service-Type = Administrative-User,
 cisco-avpair = "shell:priv-lvl=15",
 Dlink-User-Level = 5,
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:44 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
а есть на этих свитчах отдельно настройка повышения прав, как на других:

create authen_enable method_list_name NMS-enable
config authen_enable method_list_name NMS-enable method radius local_enable
config authen application console enable method_list_name NMS-enable
config authen application telnet enable method_list_name NMS-enable
config authen application ssh enable method_list_name NMS-enable
config authen application http enable method_list_name NMS-enable
Вернуться наверх
 Профиль  
 
Vans2
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 13:58 
Не в сети

Зарегистрирован: Пт авг 28, 2015 20:31
Сообщений: 4
Эти команды есть в остальных свичах, где не cisco-like cli. На них как раз все работает.
А вот по авторизации команды не нашел.
Код:
Switch(config)#aaa a?
accounting          authentication     

Switch(config)#aaa a

Код:
Switch(config)#line telnet
Switch(config-line)#login ?
authentication       Authentication parameters.

Switch(config-line)#?     
access-class         Configure access class for current line.
accounting           Accounting parameters
debug                Debug configuration
end                  Exit to EXEC mode
exit                 Exit from current mode
help                 Description of the interactive help system
login                Modify the login method.
no                   Negate a command or set its defaults.
password             Identify the plain text password
session-timeout      Set the EXEC timeout
show                 Show running system information

Switch(config-line)#login ?
authentication       Authentication parameters.

Switch(config-line)#login


Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 14:12 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1631
Откуда: Алтайский край, Барнаул
Напишите на support@dlink.ru, возможно этот топик просто не видели. Вам 100% помогут, мы тестировали в своё время DXS - радиус настроили сходу
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Вт сен 01, 2015 14:23 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
вот в этом http://dlink-manuals.org/dlink-dgs-3610 ... curity/45/
гайде по настройке ааа ничего про авторизацию. У вас обе учетки повышения прав настроены в радиусе? Тут http://www.dlink.ru/ru/faq/62/953.html для разных свитчей есть и
enable Cleartext-Password := "enable"
dlink-Privelege-Level = 5

и

$enab15$ Cleartext-Password := "test123"
Cisco-AVPair := "shell:priv-lvl=15"


Обратите внимание, что раз вы пишете в users Dlink-User-Level, то и в dictionary.dlink тоже должно указываться Dlink-User-Level. в гайде вендора там dlink-Privelege-Level
Вернуться наверх
 Профиль  
 
drass
 Заголовок сообщения: Re: Аутентификация через RADIUS
СообщениеДобавлено: Пт сен 04, 2015 14:40 
Не в сети

Зарегистрирован: Пт мар 04, 2005 13:09
Сообщений: 26
Откуда: St.Petersburg
comtel-b.ru писал(а):
Подскажите, каким атрибутом задать уровень привелегий при аутентификации пользователей на DGS-3610-26G и DXS-3600-32s через радиус?
Пользватели доступ получают, но привелегий у них никаких нет.
На остальных длинковских коммутаторах все ОК.

Очень похожая проблема была у нас на DES-3200 h/w rev A1 и B1 с последней доступной релизной прошивкой 1.28.009 (и более ранних). Решилась заливкой последней беты. Прошивку пробовали обновлять на последний релиз/последнюю бету?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 122

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB