Задать вопрос

petrovkazanksvu1

Комментарии

  • Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?

    @petrovkazanksvu1 Автор вопроса
    Валентин, открыли мне ГЛАЗА! Спасибо, нашёл хорошую реализацию Tacacs - TacacsGUI. Вы сталкивались с данным продуктом? Также нашел информацию про NOC Project, но у нее очень много функций, по сложности для меня ассоциации с кубернетесем, когда я посмотрел про NOC. Можно ли использовать NOC Project как службу ААА, Вы не работали с NOC?
    Написано

  • Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?

    @petrovkazanksvu1 Автор вопроса
    Вы про Microsoft я правильно понимаю?) Если да, то я не рассматриваю Windows как серверную платформу..
    Написано

  • Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?

    @petrovkazanksvu1 Автор вопроса
    Linux поддерживает LDAP и Kerberos, это же непроприетарные протоколы.
    Написано

  • Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?

    @petrovkazanksvu1 Автор вопроса
    А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?

    Аутентификация исключительно для управления оборудования(чтобы вся информация о пользователях(администраторах цисок) и клиентах(самих цисках) хранилась на централизованном сервере).
    Нужна только аутентификация? Авторизация и учёт уже сделаны?

    Я доустановил на Astra Linux пакеты freeradius, связал с БД mysql, и веб оболочкой Daloradius. Аутентификация проходит через сервер. Авторизацию я настраиваю за счёт уровня привелегий от 1 до 7. А ВОТ УЧЕТ СОБЫТИЙ очень скромный(Выводятся только попытки входа определенных пользователей: т.е. запрет или разрешения входа, т.е. никаких логов). И я правильно понимаю, что КАСАЕМО УЧЕТА СОБЫТИЙ более подробно данную систему не настроить?
    Вообще для доступа к управлению мелкие используют радиус, крупные - такакс.

    Такакс это проприетарный протокол, и отрытого кода я так и не нашел. А у РАДИУСа есть хорошее комьюнити и достаточно реализаций. Я это так аргументировал, и что астра нуждается в расширении своих официальных репозиториев, и данный пакет freeradius - это достойный кандидат для обеспечения централизованной аутентификации на сетевых устройствах.
    Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.

    Я не стал, брать темы связанные с написанием программ на коленке, ибо понимаю что это кровь во мне сугубо администрирующая а не разработчика.

    БЛАГОДАРЮ ЗА РАЗВЕРНУТЫЙ ОТВЕТ!
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий, это GNS3(циска) + QEMY(Ubuntu)
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий, отключил все дебаги, оставил только debug radius authentication
    R3#no debug all
    All possible debugging has been turned off
    R3#show debug

    R3#
    R3#debug radius authentication
    Radius protocol debugging is on
    Radius protocol brief debugging is off
    Radius protocol verbose debugging is off
    Radius packet hex dump debugging is off
    Radius packet protocol (authentication) debugging is on
    Radius packet protocol (accounting) debugging is off
    Radius elog debugging debugging is off
    Radius packet retransmission debugging is off
    Radius server fail-over debugging is off
    Radius elog debugging debugging is off
    R3#show debug
    Radius protocol debugging is on
    Radius packet protocol (authentication) debugging is on

    R3#
    *Feb 8 14:43:42.150: RADIUS/ENCODE(0000001E): ask "Username: "
    *Feb 8 14:43:42.154: RADIUS/ENCODE(0000001E): send packet; GET_USER
    R3#
    *Feb 8 14:43:47.390: RADIUS/ENCODE(0000001E): ask "Password: "
    *Feb 8 14:43:47.390: RADIUS/ENCODE(0000001E): send packet; GET_PASSWORD
    R3#
    *Feb 8 14:43:52.142: RADIUS/ENCODE(0000001E):Orig. component type = Exec
    *Feb 8 14:43:52.146: RADIUS: AAA Unsupported Attr: interface [221] 4 1794875308
    *Feb 8 14:43:52.146: RADIUS/ENCODE(0000001E): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
    *Feb 8 14:43:52.150: RADIUS(0000001E): Config NAS IP: 0.0.0.0
    *Feb 8 14:43:52.150: RADIUS(0000001E): Config NAS IPv6: ::
    *Feb 8 14:43:52.154: RADIUS/ENCODE(0000001E): acct_session_id: 18
    *Feb 8 14:43:52.154: RADIUS(0000001E): sending
    *Feb 8 14:43:52.162: RADIUS/ENCODE: Best Local IP-Address 192.168.122.233 for Radius-Server 192.168.122.61
    *Feb 8 14:43:52.166: RADIUS(0000001E): Send Access-Request to 192.168.122.61:1812 id 1645/17, len 69
    *Feb 8 14:43:52.166: RADIUS: authenticator 25 25 2F 96 05 46 3A 64 - 2D 6E D6 10 F8 23 ED 37
    *Feb 8 14:43:52.170: RADIUS: User-Name [1] 7 "arbab"
    *Feb 8 14:43:52.170: RADIUS: User-Password [2] 18 *
    *Feb 8 14:43:52.170:
    R3# RADIUS: NAS-Port [5] 6 2
    *Feb 8 14:43:52.170: RADIUS: NAS-Port-Id [87] 6 "tty2"
    *Feb 8 14:43:52.170: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
    *Feb 8 14:43:52.170: RADIUS: NAS-IP-Address [4] 6 192.168.122.233
    *Feb 8 14:43:52.170: RADIUS(0000001E): Sending a IPv4 Radius Packet
    *Feb 8 14:43:52.170: RADIUS(0000001E): Started 5 sec timeout
    R3#
    *Feb 8 14:43:57.190: RADIUS(0000001E): Request timed out!
    *Feb 8 14:43:57.190: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/17
    *Feb 8 14:43:57.194: RADIUS(0000001E): Started 5 sec timeout
    R3#
    *Feb 8 14:44:02.218: RADIUS(0000001E): Request timed out!
    *Feb 8 14:44:02.218: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/17
    *Feb 8 14:44:02.222: RADIUS(0000001E): Started 5 sec timeout
    R3#
    *Feb 8 14:44:07.262: RADIUS(0000001E): Request timed out!
    *Feb 8 14:44:07.262: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/17
    *Feb 8 14:44:07.266: RADIUS(0000001E): Started 5 sec timeout
    R3#
    *Feb 8 14:44:12.306: RADIUS(0000001E): Request timed out!
    *Feb 8 14:44:12.306: RADIUS: No response from (192.168.122.61:1812,1813) for id 1645/17
    *Feb 8 14:44:12.310: RADIUS/DECODE: No response from radius-server; parse response; FAIL
    *Feb 8 14:44:12.314: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
    R3#
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий,
    60223ee75bc80670855995.png
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий, вот кстати дебаг циски. У меня подозрения, что во всем виновато time-out на устройствах. на сервере он 4,9 сек, а на циске 5 сек.
    R3#debug radius accounting
    Radius protocol debugging is on
    Radius protocol brief debugging is off
    Radius protocol verbose debugging is off
    Radius packet hex dump debugging is off
    Radius packet protocol debugging is on
    Radius elog debugging debugging is off
    Radius packet retransmission debugging is off
    Radius server fail-over debugging is off
    Radius elog debugging debugging is off
    R3#show debug
    General OS:
    AAA Authorization debugging is on
    AAA Accounting debugging is on
    AAA Testing debugs debugging is on
    AAA method list state change and notification debugs debugging is on
    Radius protocol debugging is on
    Radius packet protocol debugging is on

    R3#
    *Feb 8 14:21:05.634: AAA/BIND(00000019): Bind i/f
    *Feb 8 14:21:05.634: AAA/ACCT/EVENT/(00000019): CALL START
    *Feb 8 14:21:05.638: Getting session id for NET(00000019) : db=68DC6CEC
    *Feb 8 14:21:05.638: AAA/ACCT(00000000): add node, session 13
    *Feb 8 14:21:05.642: AAA/ACCT/NET(00000019): add, count 1
    *Feb 8 14:21:05.642: Getting session id for NONE(00000019) : db=68DC6CEC
    *Feb 8 14:21:05.658: RADIUS/ENCODE(00000019): ask "Username: "
    *Feb 8 14:21:05.662: RADIUS/ENCODE(00000019): send packet; GET_USER
    R3#
    *Feb 8 14:21:21.830: RADIUS/ENCODE(00000019): ask "Password: "
    *Feb 8 14:21:21.834: RADIUS/ENCODE(00000019): send packet; GET_PASSWORD
    R3#
    *Feb 8 14:21:26.010: RADIUS/ENCODE(00000019):Orig. component type = Exec
    *Feb 8 14:21:26.010: RADIUS: AAA Unsupported Attr: interface [221] 4 1794875308
    *Feb 8 14:21:26.010: RADIUS/ENCODE(00000019): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
    *Feb 8 14:21:26.010: RADIUS(00000019): Config NAS IP: 0.0.0.0
    *Feb 8 14:21:26.014: RADIUS(00000019): Config NAS IPv6: ::
    *Feb 8 14:21:26.014: Getting session id for EXEC(00000019) : db=68DC6CEC
    *Feb 8 14:21:26.014: RADIUS/ENCODE(00000019): acct_session_id: 13
    *Feb 8 14:21:26.014: RADIUS(00000019): sending
    *Feb 8 14:21:26.018: RADIUS/ENCODE: Best Local IP-Address 192.168.122.233 for Radius-Server 192.168.122.61
    *Feb 8 14:21:26.018: RADIUS(00000019): Send Access-Request to 192.168.122.61:1812 id 1645/12, len 69
    *Feb 8 14:21:26.018: RADIUS: authenticator 1C 7B 70 8F 6D BB BB F2 - 89 9B D4 81 4E 39 0B 57
    *Feb 8 14:21:26.018: RADIUS: User-Name [1] 7 "arbab"
    *Feb 8 14
    R3#:21:26.018: RADIUS: User-Password [2] 18 *
    *Feb 8 14:21:26.018: RADIUS: NAS-Port [5] 6 2
    *Feb 8 14:21:26.018: RADIUS: NAS-Port-Id [87] 6 "tty2"
    *Feb 8 14:21:26.018: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
    *Feb 8 14:21:26.018: RADIUS: NAS-IP-Address [4] 6 192.168.122.233
    *Feb 8 14:21:26.018: RADIUS(00000019): Sending a IPv4 Radius Packet
    *Feb 8 14:21:26.022: RADIUS(00000019): Started 5 sec timeout
    R3#
    *Feb 8 14:21:31.030: RADIUS(00000019): Request timed out!
    *Feb 8 14:21:31.030: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/12
    *Feb 8 14:21:31.034: RADIUS(00000019): Started 5 sec timeout
    R3#
    *Feb 8 14:21:36.058: RADIUS(00000019): Request timed out!
    *Feb 8 14:21:36.058: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/12
    *Feb 8 14:21:36.062: RADIUS(00000019): Started 5 sec timeout
    R3#
    *Feb 8 14:21:41.086: RADIUS(00000019): Request timed out!
    *Feb 8 14:21:41.086: RADIUS: Retransmit to (192.168.122.61:1812,1813) for id 1645/12
    *Feb 8 14:21:41.090: RADIUS(00000019): Started 5 sec timeout
    R3#
    *Feb 8 14:21:46.118: RADIUS(00000019): Request timed out!
    *Feb 8 14:21:46.118: RADIUS: No response from (192.168.122.61:1812,1813) for id 1645/12
    *Feb 8 14:21:46.122: RADIUS/DECODE: No response from radius-server; parse response; FAIL
    *Feb 8 14:21:46.126: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
    R3#
    *Feb 8 14:21:50.134: RADIUS/ENCODE(00000019): ask "Username: "
    *Feb 8 14:21:50.134: RADIUS/ENCODE(00000019): send packet; GET_USER
    R3#
    *Feb 8 14:22:20.622: AAA/ACCT/EXEC(00000019): Pick method list 'default'
    *Feb 8 14:22:20.622: AAA/ACCT/SETMLIST(00000019): Handle 0, mlist 6AF80AF4, Name default
    *Feb 8 14:22:20.622: Getting session id for EXEC(00000019) : db=68DC6CEC
    *Feb 8 14:22:20.626: AAA/ACCT/EXEC(00000019): add, count 2
    *Feb 8 14:22:20.626: AAA/ACCT/EVENT/(00000019): EXEC DOWN
    *Feb 8 14:22:20.630: AAA/ACCT/EXEC(00000019): Accounting record not sent
    *Feb 8 14:22:20.630: AAA/ACCT/EXEC(00000019): free_rec, count 1
    *Feb 8 14:22:20.630: /AAA/ACCTEXEC(00000019) reccnt 1, csr FALSE, osr 0
    R3#
    *Feb 8 14:22:22.654: AAA/ACCT/EVENT/(00000019): CALL STOP
    *Feb 8 14:22:22.658: AAA/ACCT/CALL STOP(00000019): Sending stop requests
    *Feb 8 14:22:22.658: AAA/ACCT(00000019): Send all stops
    *Feb 8 14:22:22.658: AAA/ACCT/NET(00000019): STOP
    *Feb 8 14:22:22.662: AAA/ACCT/NET(00000019): Method list not found
    *Feb 8 14:22:22.662: AAA/ACCT(00000019): del node, session 13
    *Feb 8 14:22:22.662: AAA/ACCT/NET(00000019): free_rec, count 0
    *Feb 8 14:22:22.666: /AAA/ACCTNET(00000019) reccnt 0, csr TRUE, osr 0
    *Feb 8 14:22:22.666: AAA/ACCT/NET(00000019): Last rec in db, intf not enqueued
    R3#
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий, фаервол отключен, пинги проходят в обе стороны. Думаю, что циска не понимает ответов от Radius-сервера. Сейчас попробую ваершарком сессию перехватить.
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий,
    aaa new-model
    !
    !
    aaa group server radius RadiusGrp
    server-private 192.168.122.61 auth-port 1812 acct-port 1813 key secretkey
    !
    aaa authentication login default group RadiusGrp
    aaa authorization exec default group RadiusGrp
    aaa accounting exec default start-stop group RadiusGrp
    aaa accounting system default start-stop group RadiusGrp
    !
    Написано

  • Как настроить аутентификацию через freeradius для маршрутизаторов cisco?

    @petrovkazanksvu1 Автор вопроса
    Дмитрий, самое ужасное в том что я данную процедуру уже настраивал, а сейчас бьюсь об стену уже второй день.... Прилагаю вывод команды show aaa servers
    R3#show aaa servers

    RADIUS: id 1, priority 0, host 192.168.122.61, auth-port 1812, acct-port 1813
    State: current UP, duration 247s, previous duration 0s
    Dead: total time 0s, count 4
    Quarantined: No
    Authen: request 44, timeouts 44, failover 0, retransmission 33
    Response: accept 0, reject 0, challenge 0
    Response: unexpected 0, server error 0, incorrect 0, time 0ms
    Transaction: success 0, failure 11
    Throttled: transaction 0, timeout 0, failure 0
    Author: request 0, timeouts 0, failover 0, retransmission 0
    Response: accept 0, reject 0, challenge 0
    Response: unexpected 0, server error 0, incorrect 0, time 0ms
    Transaction: success 0, failure 0
    Throttled: transaction 0, timeout 0, failure 0
    Account: request 0, timeouts 0, failover 0, retransmission 0
    Request: start 0, interim 0, stop 0
    Response: start 0, interim 0, stop 0
    Response: unexpected 0, server error 0, incorrect 0, time 0ms
    Transaction: success 0, failure 0
    Throttled: transaction 0, timeout 0, failure 0
    Elapsed time since counters last cleared: 1h29m
    Estimated Outstanding Access Transactions: 0
    Estimated Outstanding Accounting Transactions: 0
    Estimated Throttled Access Transactions: 0
    Estimated Throttled Accounting Transactions: 0
    Maximum Throttled Transactions: access 0, accounting 0
    Requests per minute past 24 hours:
    high - 1 hours, 28 minutes ago: 4
    low - 1 hours, 29 minutes ago: 0
    average: 0
    Написано