このドキュメントは、Livingston RADIUS サーバへの認証を使用したダイヤルイン RADIUS 設定の設定およびデバッグについて、新規 RADIUS ユーザを支援します。これは、Cisco IOS® ソフトウェアの RADIUS 機能の完全な説明ではありません。Livingston のドキュメントは Lucent Technologies の Web サイトから入手できます。ルータの設定は、使用するサーバに関係なく同一です。
シスコでは、Cisco Secure ACS for Windows、Cisco Secure UNIX、またはCisco Access RegistrarでRADIUSコードを提供しています。このドキュメントのルータ設定は、Cisco IOSソフトウェアリリース11.3.3が稼働するルータで開発されました。Cisco IOSソフトウェアリリース12.0.5.T以降では、radiusではなくgroup radiusを使用しています。したがって、aaa authentication login default radius enableなどの文書は、aaa authentication login default group radius enableと表示されます。RADIUS ルータ コマンドの詳細については、Cisco IOS マニュアルの RADIUS 情報を参照してください。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco IOS(R) ソフトウェア リリース 11.3.3
Livingston RADIUS
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは、次の設定を使用しています。
ルータの設定 |
---|
! aaa new-model aaa authentication login default radius enable aaa authentication ppp default if-needed radius aaa authorization network default radius enable password cisco ! chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! !--- CHAP/PPP authentication user: interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- PAP/PPP authentication user: interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Login authentication user with autocommand PPP: interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 radius-server host 171.68.118.101 radius-server timeout 10 radius-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end |
注:これはLivingston RADIUSを前提としています。
# Handshake with router--router needs "radius-server key cisco": 10.29.1.3 cisco
注:これはLivingston RADIUSを前提としています。
# User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994 # address assigned from pool on router chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/pap authentication line 2 # address assigned from pool on router # Can also have 'Password = "UNIX" which uses /etc/passwd papuser Password = "papuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994 # address assigned by server chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10 # ppp/pap authentication line 2 # address assigned by server papadd Password = "papadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.11 # authentication user line 3 # address assigned from pool on router # Can also have 'Password = "UNIX" which uses /etc/passwd authauto = "authauto" User-Service-Type = Login-User
注:PCの設定は、使用しているオペレーティングシステムのバージョンによって若干異なります。
[Start] > [Programs] > [Accessories] > [Dial-Up Networking] の順に選択します。
[Connections] > [Make New Connection] を選択し、接続の名前を入力します。
モデム固有の情報を入力します。[Configure] > [General]で、モデムの最高速度を選択します。ただし、この下のチェックボックスはオンにしないでください。
[Configure] > [Connection]を選択し、8データビットを使用し、パリティなし、1ストップビットを使用します。[通話の設定]で、[ダイヤルする前にダイヤルトーンを待つ]を選択し、[200秒後に接続しなかった場合は通話をキャンセルします。
[詳細設定]では[ハードウェアフロー制御]と[変調タイプ標準]のみを選択します。
[Configure] > [Options]の下では、ステータス管理を除いて何もチェックしないでください。[OK] をクリックします。
宛先の電話番号を入力し、[次へ]および[完了]をクリックします。
新しい接続アイコンが表示されたら、そのアイコンを右クリックし、[Properties] > [Server Type]を選択します。
PPP:WINDOWS 95、WINDOWS NT 3.5、Internetを選択し、高度なオプションはチェックしないでください。許可されたネットワークプロトコルの下の少なくともTCP/IPを確認してください。
[TCP/IP settings]で[Server assigned IP address]、[Server assigned name server addresses]、および[Use default gateway on remote network]を選択します。[OK] をクリックします。
ユーザーがアイコンをダブルクリックして[接続先]ウィンドウを開き、ダイヤルするには、[ユーザー名]フィールドと[パスワード]フィールドに入力し、[接続]をクリックする必要があります。
ユーザ回線3(autocommand PPPを使用した認証ユーザ)の設定は、ユーザ回線1および2の設定と同じです。例外は、[Configure] > [Options]ウィンドウで[Bring up terminal window after dialing]をオンにすることです。
アイコンをダブルクリックして[接続先(Connect To)]ウィンドウを開き、ダイヤルする場合は、[ユーザ名(User name)]フィールドと[パスワード(Password)]フィールドに入力しないでください。[Connect] をクリックします。ルータへの接続が確立されたら、黒いウィンドウにユーザ名とパスワードを入力します。認証の後、[続行(F7)]をクリックします。
現在、この設定に使用できる確認手順はありません。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
terminal monitor:現在のターミナルおよびセッションのdebugコマンド出力とシステムエラーメッセージを表示します。
debug ppp negotiation:PPPの開始時に送信されるPPPパケットを表示します。PPPの開始時にはPPPオプションがネゴシエートされます。
debug ppp packet:送受信されたPPPパケットを表示します。(このコマンドは、下位レベルのパケット ダンプを表示します。)
debug ppp chap:クライアントが(11.2より前のCisco IOSソフトウェアリリースの場合)認証を通過しているかどうかに関する情報を表示します。
debug aaa authentication:AAA/TACACS+ 認証に関する情報を表示します。
debug aaa authorization:AAA/TACACS+ 許可に関する情報を表示します。
注:これはLivingstonのUNIXサーバコードを前提としています。
radiusd -x -d <full_path_to_users_clients_dictionary>