{"id":294,"date":"2011-08-04T10:49:25","date_gmt":"2011-08-04T09:49:25","guid":{"rendered":"http:\/\/janscholten.de\/blog\/?p=294"},"modified":"2011-08-04T10:49:25","modified_gmt":"2011-08-04T09:49:25","slug":"user-authentifizierung-gegen-radius-cisco","status":"publish","type":"post","link":"https:\/\/janscholten.de\/blog\/2011\/08\/user-authentifizierung-gegen-radius-cisco\/","title":{"rendered":"User Authentifizierung gegen Radius &#8211; Cisco"},"content":{"rendered":"<p>Nach dem die Fortigates schon gegen Radius Authentifizieren (<a href=\"http:\/\/janscholten.de\/blog\/2011\/07\/user-authentifizierung-gegen-radius-fortinet\/\" title=\"Fortigtae gegen Radius\">Link<\/a>) <\/p>\n<p>Liegt es nahe das auch auf andere Ger\u00e4te auszuweiten.<\/p>\n<p>Cisco ist da auch ein Kandidat. Der einfache Adminzugang f\u00fcr einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich sp\u00e4ter (wenn ich dazu komme).<\/p>\n<p>Im Radiusserver hinterlegt man die entsprechenden User\/R\u00fcckgabe Werte in <em>\/etc\/freeradius\/users<\/em>:<\/p>\n<pre>\r\n# nicht im Privilege Modus, enable noetig\r\n\"iosread\" Cleartext-Password := \"iosread\"\r\n        Service-Type = NAS-Prompt-User\r\n# priv 15\r\n\"iosadmin\" Cleartext-Password := \"iosadmin\"\r\n        Service-Type = NAS-Prompt-User,\r\n        cisco-avpair = \"shell:priv-lvl=15\"\r\n<\/pre>\n<p>Alternativ geht auch folgendes:<\/p>\n<pre>\r\n\"catosadmin\" Cleartext-Password := \"catosadmin\"\r\n        Service-Type = Administrative-User\r\n<\/pre>\n<p>Das ist wenn ich mich recht erinnere f\u00fcr CatOS devices auch zwingend notwendig -funktioniert bei IOS praktischerweise auch.<\/p>\n<p>Die Konfigurationen auf dem Switch sind in wenigen Zeilen erlegt:<\/p>\n<pre>\r\n!Falls Radiusserver tot ist einen lokalen Account haben\r\nusername localadmin privilege 15 secret Rettemich\r\n\r\n! aaa aktivieren, prim\u00e4r radius fallback auf local\r\naaa new-model\r\naaa authentication login default group radius local\r\naaa authorization exec default group radius local\r\n\r\n!Radiusserver:\r\nradius-server host 172.16.1.32 auth-port 1812 acct-port 1813 key 12345678\r\n<\/pre>\n<p>Damit kann sich ein catosadmin oder iosadmin im priviledge Modus anmelden, ein iosread kommt in den unpriveligierten modus, darf ein paar &#8222;show&#8220; Befehle. F\u00fcr weitere Untaten muss er erst in den enable Modus.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nach dem die Fortigates schon gegen Radius Authentifizieren (Link) Liegt es nahe das auch auf andere Ger\u00e4te auszuweiten. Cisco ist da auch ein Kandidat. Der einfache Adminzugang f\u00fcr einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich sp\u00e4ter (wenn ich dazu komme). Im Radiusserver hinterlegt man die entsprechenden User\/R\u00fcckgabe Werte &hellip; <a href=\"https:\/\/janscholten.de\/blog\/2011\/08\/user-authentifizierung-gegen-radius-cisco\/\" class=\"more-link\"><span class=\"screen-reader-text\">User Authentifizierung gegen Radius &#8211; Cisco<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-294","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=294"}],"version-history":[{"count":2,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/294\/revisions"}],"predecessor-version":[{"id":296,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/294\/revisions\/296"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}