@zwoelf

Как запретить аутентификацию framed-users сервис-тайпом login-user в cisco?

Суть такова.

/etc/freeradius/users

# Test login user
login  Cleartext-Password := "justtest"
	Service-Type = Login-User,
	Cisco-AVPair := "shell:priv-lvl=15"

# Test PPP user
test Cleartext-Password := "justtest"
	Service-Type = Framed-User,
	Framed-Protocol = PPP,
	Framed-IP-Address = 192.168.25.65


На циске (2800):

aaa authentication login default group services local
aaa authentication ppp remote group services
aaa authorization network remote group services if-authenticated
!
aaa group server radius services
 server name service
 ip vrf forwarding core
 ip radius source-interface GigabitEthernet0/1.20
!
radius server service
 address ipv4 192.168.24.130 auth-port 1812 acct-port 1813
!


Таким конфигом я могу зайти на устройство пользователем test, что крайне не желательно.

Где-то то ли в циске была команда, то ли директива в фрирадиусе, значения которой заканчивались на match-all или match-any, похоже на то что это то что мне нужно, но не помню команды, нагуглить не удается =(
  • Вопрос задан
  • 233 просмотра
Пригласить эксперта
Ответы на вопрос 1
@zwoelf Автор вопроса
Пока что решено так, но что-то мне не нравится:

test Cleartext-Password := "test", Service-Type == Framed-User
  ...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы