我将cisco开关aaa设置如下。
Switch#show running-config | include aaa
aaa new-model
aaa authentication login default group tacacs+ group radius local
aaa authentication enable default group tacacs+ group radius none
aaa authorization exec default group tacacs+ group radius none
之后,我尝试通过local console来访问switch,并成功。
Username: testradius
Password:
[Radius] Hello!!! Username:testradius
Switch#
但是,当我尝试通过telnet之类的vty访问时,它在authorization步骤上失败了。
Username: testradius
Password:
[Radius] Hello!!! Username:testradius
% Authorization failed.
Connection closed by foreign host.
我尝试修复了3天,但在Google上没有发现此问题的线索。
有什么方法可以固定那些Authorization fail的半径吗?
谢谢。
答案 0 :(得分:0)
我通过编辑文件clients.conf(这是freeradius配置文件)解决了该问题。
之前:
client 192.168.0.200 {
shortname = home1
secret = testsecret
}
之后:
client 192.168.0.200 {
shortname = home1
secret = testsecret
DEFAULT Auth-Type := System # append
cisco Auth-Type := System # append
Service-Type = NAS-Prompt-User # append
cisco-avpair = "shell:priv-lvl=15", # append
}
我仍然不太确定这个问题的原因。freeradius client和vty line之间的特权不同可能会导致此问题。
在我的情况下,vty行的默认特权级别15为15,这是最高的priv。
line vty 0 4
privilege level 15
但是,正如您在第一个clients.conf文件中看到的那样,我对该客户端没有任何特权。
在这种情况下,由于freeradius client和vty line之间的不匹配,授权可能会失败。