我需要在我的 cisco 路由器上配置本地半径身份验证。我有一个 Web 应用程序,我们在其中实现了双因素身份验证,它可以与 freeRadius 等其他半径服务器一起正常工作。
我设法将 Access-Request 发送到 cisco 路由器,但路由器总是发回 Access-Reject 数据包。
显示运行配置
aaa new-model
aaa session-id common
radius-server local
no authentication mac
nas 192.168.0.8 key 0 testing_new
user test2 nthash 0 0CB6948805F797BF2A82807973B89537
!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new
当我跑步时,show radius local-server statistics我得到
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Unknown NAS : 16 Invalid packet from NAS: 11
NAS : 192.168.0.8
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Corrupted packet : 0 Unknown RADIUS message : 6
No username attribute : 1 Missing auth attribute : 0
Shared key mismatch : 0 Invalid state attribute: 0
Unknown EAP message : 0 Unknown EAP auth type : 0
Auto provision success : 0 Auto provision failure : 0
PAC refresh : 0 Invalid PAC received : 0
我没有找到适合我的案例的配置,也不知道是否可行?任何想法我在我的思科配置中缺少什么?
您缺少服务器。不,您不能将路由器设置为服务器。本地身份验证不是 RADIUS。RADIUS 的全部意义在于使用不同的机器进行身份验证。您设置的 IP
radius-server host必须是 RAIDUS 服务器的 IP。即使您的路由器会以某种方式支持这一点(一些新型号支持内置 RADIUS 服务器,但这仅适用于 LEAP),这不是推荐的做法,因为大多数常用路由器几乎没有足够的资源来完成他们的主要任务. 做一个 RADIUS 可能会导致性能显着下降。
如果您不想使用物理机,您可以通过将无线 AP 变成 RADIUS 服务器来作弊。