User Authentifizierung gegen Radius – Cisco

Nach dem die Fortigates schon gegen Radius Authentifizieren (Link)

Liegt es nahe das auch auf andere Geräte auszuweiten.

Cisco ist da auch ein Kandidat. Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

# nicht im Privilege Modus, enable noetig
"iosread" Cleartext-Password := "iosread"
        Service-Type = NAS-Prompt-User
# priv 15
"iosadmin" Cleartext-Password := "iosadmin"
        Service-Type = NAS-Prompt-User,
        cisco-avpair = "shell:priv-lvl=15"

Alternativ geht auch folgendes:

"catosadmin" Cleartext-Password := "catosadmin"
        Service-Type = Administrative-User

Das ist wenn ich mich recht erinnere für CatOS devices auch zwingend notwendig -funktioniert bei IOS praktischerweise auch.

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erlegt:

!Falls Radiusserver tot ist einen lokalen Account haben
username localadmin privilege 15 secret Rettemich

! aaa aktivieren, primär radius fallback auf local
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local

!Radiusserver:
radius-server host 172.16.1.32 auth-port 1812 acct-port 1813 key 12345678

Damit kann sich ein catosadmin oder iosadmin im priviledge Modus anmelden, ein iosread kommt in den unpriveligierten modus, darf ein paar „show“ Befehle. Für weitere Untaten muss er erst in den enable Modus.