Установку Freeradius с интеграцией mysql и daloradius мы рассматривали тут . Допустим у нас уже есть установленный сервер с ip 192.168.4.2 . соответственно мы можем получить доступ к нему по адресу http://192.168.4.2/daloradius/index.php , мы попадем в веб интерфейс Daloradius :
Создадим простого пользователя user c паролем user , для этого перейдем Management>New User
После ввода данных нажимаем Apply , и все, мы создали простого пользователя , просмотреть существующих пользователей можно в разделе List Users :
как видим у нас создано две записи , среди которых есть и user . теперь мы можем подключиться к устройствам используя созданную нами учетную запись user , не забываем что устройства на которые мы хотим попасть должны быть прописаны в /etc/freeradius/clients.conf ( подробнее тут ) , так же нам понадобится настроить aaa на самих устройствах .
не желательно хранить пароли в открытом виде, лучше хранить хэш от паролей , а в поле passowоrd type выставлять используемый алгоритм хеширования
Настройка aaa на Cisco .
- в первую очередь создадим пользователя в локальной базе , это делается на случай если наш радиус сервер не будет доступен .
Никогда не настраивайте вход ТОЛЬКО через ААА-сервер. Вы не сможете зайти на устройство, если сервер станет недоступен. Используйте локальную учетную запись, как резервный вариант входа.
username backupuser privilege 15 secret cisco
2. Далее включаем aaa , делается это так :
aaa new-model
3. указываем данные радиус сервера :
radius-server host 10.0.5.2 auth-port 1812 acct-port 1813
radius-server retransmit 1
radius-server key secret
4. задаем доступ ко всем линиям с использованием протокола Radius, затем локального метода:
aaa authentication login default group radius local
Простая аутентификация готова , но допустим нам надо разграничить права доступа у созданного пользователя user , нам надо задать ему privelege level 7, для этого открываем веб интерфейс Daloradius, переходим в Management > List Users выбираем нашу учетку user, жмем Edit User
Попадаем в меню настройки учетной записи , переходим в раздел Attributes , Vendor выставляем Cisco , Attribute выставляем AV pair далее жмем Add attribute , появятся новые разделы заполняем в соответствии с рисунком 5
После того как мы жмем Apply , на радиус сервере у учетной записи user будет выставлен 7 уровень привилегий (если нужен другой уровень, например 15 , указываем его в поле Value : shell:priv-lvl=15)
Теперь нам нужно настроить авторизацию на Cisco(до этого мы настраивали аутентификацию ) для этого вводим :
aaa authorization exec default group radius local
aaa authorization config-command
Все после этого при подключении к оборудованию с учетной записью user мы попадаем в режим exec c 7 уровнем привилегий .
Есть еще один способ менять привилегии для уже созданных пользователей через Daloradius с помощью групп . Для начала создадим новую группу , для этого переходим Management>Profiles>New Profile
на рис. 6 мы создали профайл admins с 15 уровнем привилегий . теперь можно добавить учетную запись в созданную группу , для этого переходим в меню управления учетной записью , затем переходим в раздел Groups где выбираем созданную нами группу , затем жмем Apply.
Таким образом мы переопределили уровень привилегий пользователя user , теперь у него privilege level 15. Как видим, использование групп облегчает работу с учетными записями, можно например создать две группы admins и users , с разными уровнями привилегий , далее можно добавлять или удалять учетные записи в эти группы, в соответствии с требованиями .