Титла: Cisco rv 345 radius login Публикувано от: boiko_tri в Nov 22, 2019, 10:56 Здравейте колеги,
Имам следния проблем значи до скоро имахме над 300 rv345 бройки работата им да вдигнат по 10 site-to-site- vpn тунела и всичко работи нямат проблем. За логини ползваме FreeRadius (freeradius-2.2.6-7.) и тук всичко работеше с този Firmware Version: 1.0.00.33 . Обаче от както го update на Firmware Version: 1.0.03.15 логина умря и не могат да се логнат . Примерно basic конфигурацията при която работи логина на стария Firmware e client.conf client 192.168.90.1 { secret = key nastype = cisco shortname = parking } user.conf parking Cleartext-Password := "parking" Service-Type = NAS-Prompt-User, Cisco-AVPair = "shell:priv-lvl=15", Лично аз смятам ,че проблема е в некви групи но вече ден го боря и не виждам светлина ;). Да ако някой може да помогне с неква конфигурацията с радост бих я пробвал. rad_recv: Access-Request packet from host 192.168.90.1 port 58606, id=107, length=78 User-Name = "test" User-Password = "test" NAS-IP-Address = 192.168.90.1 NAS-Identifier = "weblogin" NAS-Port = 22553 NAS-Port-Type = Virtual Service-Type = Authenticate-Only # Executing section authorize from file /etc/raddb/sites-enabled/default +group authorize { ++[preprocess] = ok ++[chap] = noop ++[mschap] = noop ++[digest] = noop [suffix] No '@' in User-Name = "test", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] = noop [eap] No EAP-Message, not doing EAP ++[eap] = noop [files] users: Matched entry test at line 200 ++[files] = ok ++[expiration] = noop ++[logintime] = noop ++[pap] = updated +} # group authorize = updated Found Auth-Type = PAP # Executing group from file /etc/raddb/sites-enabled/default +group PAP { [pap] login attempt with password "test" [pap] Using clear text password "test" [pap] User authenticated successfully ++[pap] = ok +} # group PAP = ok # Executing section post-auth from file /etc/raddb/sites-enabled/default +group post-auth { ++[exec] = noop +} # group post-auth = noop Sending Access-Accept of id 107 to 192.168.90.1 port 58606 User-Service-Type = Login-User Fortinet-Group-Name = "GRP-one" Finished request 2. Going to the next request Waking up in 4.9 seconds. Cleaning up request 2 ID 107 with timestamp +817 Ready to process requests. Титла: Re: Cisco rv 345 radius login Публикувано от: 10101 в Nov 22, 2019, 12:55 Radius-a пуска...както знаеш
по-скоро проблема е в другата страна. Не харесва някой атрибут. Лог от него? Можеш ли да покажеш от radreply attribute op value ? radusergroup ? Това ако ползваш класическия. Пробвай да промениш от Login-User на Shell-User? Предлагам Shell-User защото пък в конф-а даваш privilege 15, и група фортинет. Титла: Re: Cisco rv 345 radius login Публикувано от: boiko_tri в Nov 25, 2019, 09:00 Здравей вдигнах един syslog i при логин ми показва това
2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="195"] pam_radius_auth: User test authentication succeeded 2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="196"] Localdb:authorization failed as group is NULL 2019-11-25T06:58:27+00:00 router348192 jsonrpc - - [meta sequenceId="197"] User test login fail from 192.168.90.145 Титла: Re: Cisco rv 345 radius login Публикувано от: 10101 в Nov 25, 2019, 09:36 Като гледам си писал и на cisco ама все 5
https://community.cisco.com/t5/small-business-routers/rv345-radius-setup/td-p/3803039 Според мен трябва да си по тестваш докато пробиеш. Отделно не си дал никаква част от това което по исках, не каза дали пробва с различни атрибути и т.н Титла: Re: Cisco rv 345 radius login Публикувано от: boiko_tri в Nov 25, 2019, 11:13 Здравей.
С нищо друго не съм пробвал всичко е по default . За сега ще оставя така нещата ще си ползвам стария firmware ot 2018 Титла: Re: Cisco rv 345 radius login Публикувано от: 10101 в Nov 27, 2019, 14:38 Лесно се отказа :)
http://freeradius.1045715.n5.nabble.com/Class-attributes-td5747863.html Титла: Re: Cisco rv 345 radius login Публикувано от: boiko_tri в Nov 29, 2019, 10:55 Здравейте ,
Проблема е решен значи първо трябва да създадем група в cisco-to да кажем readonly на тази група и даваме права каквито ползволява cisoc-to да кажем в моя случай weblogin readonly. След това отиваме в конфигурационния файл и добавяме това Class =readonly , ако групата в циското е с друго име и класа променяме. Userreadonly Cleartext-Password := "passreadonly" Service-Type = NAS-Prompt-User, Class = admin, Cisco-AVPair = "shell:roles=network-admin vdc-admin vdc-operator" Да ни е честито :) Титла: Re: Cisco rv 345 radius login Публикувано от: 10101 в Nov 29, 2019, 21:39 Заслужих ли бира? Или заслугата е изцяло твоя :))
[_]3 [_]3 [_]3 Титла: Re: Cisco rv 345 radius login Публикувано от: boiko_tri в Dec 02, 2019, 20:53 Принципно да понеже ме насочи а това е 95 процента от работата :) в моя случай проба грешка и хоп бам бум
|