安全视频中的radius服务器配置非常好 值得借鉴
在qytang现任明教教主Nexus课程.9.Security.第一部分.mp4的21:43-----31:35
其实就是对接一个linux系统的radius服务器(可以是思科网络设备),之后里面提供radius服务。只需要交换机配置radius服务器的信息,
命令radius-server host 10.1.1.241 key cisco
之后去radius服务器 10.1.1.241的web管理界面,配置针对此交换机的登录用户,譬如叫iseuser和密码,之后这个在radius服务器 10.1.1.241的web管理界面创建的用户
就可以在交换机上面登录了。原来radius是这样的一个功能(此功能只是其中一个功能点:认证)。之后radius服务器还可以配置授权,就是刚刚创建的用户,能有什么功能,譬如针对网络交换机
可以配置他能使用什么命令啥的,raidus可以实现。具体看老师的视频。
最后,类比syslog服务器和网管snmp服务器,其实也和radius服务器一样原理一样,在交换机填写对接linux的syslog服务器和网管snmp服务器地址即可,
之后相应的服务器对接起来就可以使用了。
譬如syslog服务器就是logging server 145.8.176.52 5 use-vrf default
网管snmp服务器就是snmp-server host 145.8.176.111 traps version 2c 7ZhmT#
radius服务器就是radius-server host 10.1.1.241 key cisco
后期请在vmware找一些开源的比syslog服务器、网管snmp服务器、radius服务器来做一下这些实验。
其实中电的华为agilecontroller就是一个radius服务器
你看交换机对接它的配置,就是以radius-server为名称的
(也就是交换机可以做本地认证,也可以做radius这样的远端认证,而中电工程这种内网很多认证都是转移给华为agilecontroller做radius这样的远端认证)
radius-server template cpecc
radius-server shared-key cipher %^%#^OYw%BXj{<(#H}DY{[email protected]‘^~M7>H.956R~s0#[email protected]%^%#
radius-server authentication 10.30.40.101 1812 source ip-address 10.30.0.1 weight 80
radius-server accounting 10.30.40.101 1813 source ip-address 10.30.0.1 weight 80
radius-server authorization 10.30.40.101 shared-key cipher %^%#O>D-;:P[BD%%\,Wkd!w5*‘(5OZwx‘5K5[;)U2SKP%^%#
test命令很重要,可以在交换机直接在命令行测试用户好不好用
原文地址:https://blog.51cto.com/8189171/2420318