jmiller 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hallo, ich nutze einen RADIUS Server. Laut Server ist die authentication OK, aber auf meinem CISCO Router bekomme ich die Meldung, dass die Authentication fehlgeschlagen ist, kann mich also net anmelden. Welche Lösungsansätze habt ihr? Ich gehe davon aus, dass Ports, NAS Secret, etc. richtig eingestellt sind, sonst würde aufm Server auch ne Fehlermeldung kommen? Debuggen hat leider nix aussagekräftiges gebracht... mfg - JENS Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hi Jens, versuch doch mal nen deb authentication/authorization/radius auf dem router und schau mal, ob du da fehler siehst. Beispiel Tacacs Telnet und enable auf router Jul 22 14:32:40.175: AAA/AUTHOR/TAC+: (3480960218): user=xxx Jul 22 14:32:40.175: AAA/AUTHOR/TAC+: (3480960218): send AV service=shell Jul 22 14:32:40.175: AAA/AUTHOR/TAC+: (3480960218): send AV cmd=terminal Jul 22 14:32:40.175: AAA/AUTHOR/TAC+: (3480960218): send AV cmd-arg=monitor Jul 22 14:32:40.175: AAA/AUTHOR/TAC+: (3480960218): send AV cmd-arg=<cr> Jul 22 14:32:40.379: TAC+: (3480960218): received author response status = PASS_ ADD Jul 22 14:32:40.379: AAA/AUTHOR (3480960218): Post authorization status = PASS_A DD Jul 22 14:32:44.651: AAA: parse name=tty227 idb type=-1 tty=-1 Jul 22 14:32:44.651: AAA: name=tty227 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=227 channel=0 Jul 22 14:32:44.651: AAA/MEMORY: create_user (0x6255DB38) user='NULL' ruser='NUL L' ds0=0 port='tty227' rem_addr='10.10.10.10' authen_type=ASCII service=LOGIN priv=1 initial_task_id='0' Jul 22 14:32:44.651: AAA/AUTHEN/START (1401886579): port='tty227' list='' action =LOGIN service=LOGIN Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Jul 22 14:32:44.651: AAA/AUTHEN/START (1401886579): using "default" list Jul 22 14:32:44.651: AAA/AUTHEN/START (1401886579): Method=tacacs+ (tacacs+) Jul 22 14:32:44.651: TAC+: send AUTHEN/START packet ver=192 id=1401886579 Jul 22 14:32:44.855: TAC+: ver=192 id=1401886579 received AUTHEN status = GETUSE R Jul 22 14:32:44.855: AAA/AUTHEN (1401886579): status = GETUSER Jul 22 14:32:44.855: AAA/AUTHEN/CONT (1401886579): continue_login (user='(undef) ') Jul 22 14:32:44.855: AAA/AUTHEN (1401886579): status = GETUSER Jul 22 14:32:44.855: AAA/AUTHEN (1401886579): Method=tacacs+ (tacacs+) Jul 22 14:32:44.855: TAC+: send AUTHEN/CONT packet id=1401886579 Jul 22 14:32:45.055: TAC+: ver=192 id=1401886579 received AUTHEN status = GETPAS S Jul 22 14:32:45.055: AAA/AUTHEN (1401886579): status = GETPASS Jul 22 14:32:45.131: AAA/AUTHEN/CONT (1401886579): continue_login (user='xxx') Jul 22 14:32:45.131: AAA/AUTHEN (1401886579): status = GETPASS Jul 22 14:32:45.131: AAA/AUTHEN (1401886579): Method=tacacs+ (tacacs+) Jul 22 14:32:45.131: TAC+: send AUTHEN/CONT packet id=1401886579 Jul 22 14:32:45.331: TAC+: ver=192 id=1401886579 received AUTHEN status = PASS Jul 22 14:32:45.331: AAA/AUTHEN (1401886579): status = PASS Jul 22 14:32:45.331: tty227 AAA/AUTHOR/EXEC (477018193): Port='tty227' list='' s ervice=EXEC Jul 22 14:32:45.331: AAA/AUTHOR/EXEC: tty227 (477018193) user='xxx' Jul 22 14:32:45.331: tty227 AAA/AUTHOR/EXEC (477018193): send AV service=shell Jul 22 14:32:45.331: tty227 AAA/AUTHOR/EXEC (477018193): send AV cmd* Jul 22 14:32:45.331: tty227 AAA/AUTHOR/EXEC (477018193): found list "default" Jul 22 14:32:45.331: tty227 AAA/AUTHOR/EXEC (477018193): Method=tacacs+ (tacacs+ ) Jul 22 14:32:45.331: AAA/AUTHOR/TAC+: (477018193): user=xxx Jul 22 14:32:45.331: AAA/AUTHOR/TAC+: (477018193): send AV service=shell Jul 22 14:32:45.331: AAA/AUTHOR/TAC+: (477018193): send AV cmd* Jul 22 14:32:45.531: TAC+: (477018193): received author response status = PASS_A DD Jul 22 14:32:45.531: AAA/AUTHOR (477018193): Post authorization status = PASS_AD D Jul 22 14:32:45.531: AAA/AUTHOR/EXEC: Authorization successful Jul 22 14:32:45.575: AAA/MEMORY: dup_user (0x62385320) user='xxx' ruser='NULL' d s0=0 port='tty227' rem_addr='10.10.10.10' authen_type=ASCII service=ENABLE pr iv=15 source='AAA dup enable' Jul 22 14:32:45.575: AAA/AUTHEN/START (4164916679): port='tty227' list='' action =LOGIN service=ENABLE Jul 22 14:32:45.575: AAA/AUTHEN/START (4164916679): non-console enable - default to enable password Jul 22 14:32:45.575: AAA/AUTHEN/START (4164916679): Method=ENABLE Jul 22 14:32:45.575: AAA/AUTHEN (4164916679): status = GETPASS Jul 22 14:32:45.635: AAA/AUTHEN/CONT (4164916679): continue_login (user='(undef) ') Jul 22 14:32:45.635: AAA/AUTHEN (4164916679): status = GETPASS Jul 22 14:32:45.639: AAA/AUTHEN/CONT (4164916679): Method=ENABLE Jul 22 14:32:45.651: AAA/AUTHEN (4164916679): status = PASS Jul 22 14:32:45.651: AAA/MEMORY: free_user (0x62385320) user='NULL' ruser='NULL' port='tty227' rem_addr='10.10.10.10' authen_type=ASCII service=ENABLE priv=1 5 Router# Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): Port='tty226' list='' s ervice=CMD Jul 22 14:32:50.895: AAA/AUTHOR/CMD: tty226 (1189011582) user='xxx' Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): send AV service=shell Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): send AV cmd=terminal Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): send AV cmd-arg=no Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): send AV cmd-arg=monitor Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): send AV cmd-arg=<cr> Jul 22 14:32:50.895: tty226 AAA/AUTHOR/CMD (1189011582): found list "default" Gruß Rob Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 *Mar 15 00:26:06.136 cet: AAA/AUTHOR/EXEC: tty13 (1320781121) user='test' *Mar 15 00:26:06.140 cet: tty13 AAA/AUTHOR/EXEC (1320781121): send AV service=shell *Mar 15 00:26:06.144 cet: tty13 AAA/AUTHOR/EXEC (1320781121): send AV cmd* *Mar 15 00:26:06.144 cet: tty13 AAA/AUTHOR/EXEC (1320781121): found list "default" *Mar 15 00:26:06.148 cet: tty13 AAA/AUTHOR/EXEC (1320781121): Method=radius (radius) *Mar 15 00:26:06.152 cet: RADIUS: no appropriate authorization type for user. *Mar 15 00:26:06.156 cet: AAA/AUTHOR (1320781121): Post authorization status = FAIL *Mar 15 00:26:06.164 cet: AAA/AUTHOR/EXEC: Authorization FAILED So sieht das bei mir aus... Verstehe ich das richtig, dass die Login Methode von Server und Router unterschiedlich sind? Oder was will mir dieser Fehler sagen? mfg - jens Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Authorization failed, das ist der Fehler... wie sieht die Einrichtung auf dem Router aus? Gruß Rob Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 aaa new-model aaa authentication login default group radius local aaa authentication enable default group radius enable aaa authorization console aaa authorization exec default group radius local radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 radius-server retransmit 3 radius-server deadtime 5 radius-server key 7 03105E1812 Aber wie schon eingangserwähnt, der server selbst gibt keine fehlermeldung aus.... Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 ... wenn ich mit Ethereal den Verklehr aufzeichen, sendet der RADIUS Server ein Packet mit dem Code "Accept Accept (2)" und "Attribute Value Pairs": Session Timeout(27) l:6 value: 9999999 ??? Zitieren Link zu diesem Kommentar
bella 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 aaa new-modelaaa authentication login default group radius local aaa authentication enable default group radius enable aaa authorization console aaa authorization exec default group radius local radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 radius-server retransmit 3 radius-server deadtime 5 radius-server key 7 03105E1812 Aber wie schon eingangserwähnt, der server selbst gibt keine fehlermeldung aus.... User passes authentication (i.e. username/password is good) but fails authorization (profile not set up for Service-Type=Framed & Framed-Protocol=PPP): RADIUS: Received from id 13 171.68.118.101:1645, Access-Accept, len 20 RADIUS: saved authorization data for user 15AD58 at 15ADF0 AAA/AUTHEN (56862281): status = PASS AAA/AUTHOR/LCP As1: Authorize LCP AAA/AUTHOR/LCP: Async1: (959162008): user='cse' AAA/AUTHOR/LCP: Async1: (959162008): send AV service=ppp AAA/AUTHOR/LCP: Async1: (959162008): send AV protocol=lcp AAA/AUTHOR/LCP: Async1: (959162008): Method=RADIUS RADIUS: no appropriate authorization type for user. AAA/AUTHOR (959162008): Post authorization status = FAIL AAA/AUTHOR/LCP As1: Denied AAA/AUTHEN: free_user (0x15AD58) user='cse' ruser='' port='Async1' rem_addr='async' authen_type=PAP service=PPP priv=1 As1 PAP: O AUTH-NAK id 27 len 25 msg is "Authorization failed" Kannst du den config vollständich zeigen? Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 hab so einen Verdacht, dass auf dem router folgende Zeile fehlt: aaa authorization commands 15 default group radius --->für die Befehle Level 15 wieso überhaupt service ppp dann fehlt aaa authorization network... Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 hm... werd das am montag mal ausprobieren, bin gespannt :-) allerdings hats in den anderen Netzwerken auch ohne die beiden Befehle geklappt. Trotzdem danke für den Tip, werd am Montag posten :-) Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 26. Juli 2005 Autor Melden Teilen Geschrieben 26. Juli 2005 Also mit dem RADIUS hab ich kein Glück. Muss allerdings zugeben, dass ich das auch zum ersten Mal konfiguriere... Da ich zwei verschiedene Server versucht habe, denke ich dass es an meiner fehlerhaften CISCO Konfig liegt... Kann mir vielleicht jemand ein Beispiel posten, bei dem ppp als service-typ genutzt wird und keine lokalen Datenbanken verwendet werden. Die Authentisierung klappt bestens, aber ich vermute das die Authorization-Befehle alle keine Wirksamkeit haben. Auf der Ciscoseite hab ich gelesen, dass dazu eine default-liste definiert sein muss. Nur wie soll das funktionieren? Auch muss ich die einzelnen Methoden an die Schnittstellen binden (mit "ppp authorization..."), nur dort gibts den Befehl net... zumindest net bei e0... Wie gesagt, kann mir jemand mit einem Beispiel behilflich sein? Mfg - JENS Zitieren Link zu diesem Kommentar
bella 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Also mit dem RADIUS hab ich kein Glück. Muss allerdings zugeben, dass ich das auch zum ersten Mal konfiguriere... Da ich zwei verschiedene Server versucht habe, denke ich dass es an meiner fehlerhaften CISCO Konfig liegt... Kann mir vielleicht jemand ein Beispiel posten, bei dem ppp als service-typ genutzt wird und keine lokalen Datenbanken verwendet werden. Die Authentisierung klappt bestens, aber ich vermute das die Authorization-Befehle alle keine Wirksamkeit haben. Auf der Ciscoseite hab ich gelesen, dass dazu eine default-liste definiert sein muss. Nur wie soll das funktionieren? Auch muss ich die einzelnen Methoden an die Schnittstellen binden (mit "ppp authorization..."), nur dort gibts den Befehl net... zumindest net bei e0... Wie gesagt, kann mir jemand mit einem Beispiel behilflich sein? Mfg - JENS http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080093c78.shtml Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 26. Juli 2005 Autor Melden Teilen Geschrieben 26. Juli 2005 danke für den link... das resultat ist allerdings das gleiche... Folgende Meldung bei "debug radius"... *Mar 1 01:32:09.623 cet: RADIUS: ustruct sharecount=1 *Mar 1 01:32:09.623 cet: Radius: radius_port_info() success=1 radius_nas_port=1 *Mar 1 01:32:09.639 cet: RADIUS: Initial Transmit tty12 id 15 192.168.1.2:1812, Access-Request, len 75 *Mar 1 01:32:09.643 cet: Attribute 4 6 0A4D10FE *Mar 1 01:32:09.647 cet: Attribute 5 6 0000000C *Mar 1 01:32:09.647 cet: Attribute 61 6 00000005 *Mar 1 01:32:09.651 cet: Attribute 1 6 74657374 *Mar 1 01:32:09.651 cet: Attribute 31 13 3139322E *Mar 1 01:32:09.655 cet: Attribute 2 18 95F7960D *Mar 1 01:32:09.663 cet: RADIUS: Received from id 15 192.168.1.2:1812, Access-A ccept, len 26 *Mar 1 01:32:09.667 cet: Attribute 27 6 0098967F *Mar 1 01:32:09.675 cet: RADIUS: saved authorization data for user 5BE6E4 at 5B E87C *Mar 1 01:32:09.683 cet: RADIUS: no appropriate authorization type for user. Mfg - JENS Zitieren Link zu diesem Kommentar
srellik 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Hallo Zusammen, interessant wäre noch die Info, welchen Radius-Server du benuzt (cistron, livingston, freeradius,...) Zu den fehlermeldungen kann ich direkt jetzt nix sagen. Ich kann dir nur ne config mailen, die bei mir funktioniert. Ich verwende momentan freeradius, habe die config aber unverändert von meinen Livingston- und Cistron-Versuchen übernommen: /etc/raddb/users username Password == "passwort" Service-Type = Login-User, Login-Host = router, Login-Service = Telnet $enab15$ Password == "enable-secret" Service-Type = Shell-User /etc/raddb/clients.conf client 192.168.100.252 { secret = radiuskey shortname = router nastype = cisco } Konfig auf Cisco 2611: aaa authentication login default group radius local aaa authentication enable default group radius enable ! ! radius-server host 192.168.222.1 auth-port 1812 acct-port 1813 key testing123 radius-server retransmit 1 ! Die Schlüsselworte username, passwort, enable-secret, router und radiuskey sind natürlich entsprechend anzupassen. Manchmal ist die einfachste Konfig doch die beste ;) Mfg alex Zitieren Link zu diesem Kommentar
jmiller 10 Geschrieben 27. Juli 2005 Autor Melden Teilen Geschrieben 27. Juli 2005 Hallo, danke für deine Hilfe. Ich hab inzwischen freeradius, ClearSoft und eine (WinXP) Freeware versucht. Die Fehlermeldung ist bei allen die Gleiche, mit dem Unterschied, dass bei ClearSoft noch ein unbekanntes Attribut (13) dazukommt... Leider mangelt es mir mittlerweile an anderen Testprodukten, da ich gezwungen bin den Server auf Win-Maschienen laufen zu lassen, die Auswahl is net soooo groß und Server2003 steht mir im Moment net zur Verfügung... Allerdings da der Fehler bei allen der Gleiche ist und ich mich überall authentifizieren kann, MUSS es doch quasi an meiner fehlerhaften Config liegen... Bin mir sicher deine Konfiguration auch schon versucht zu haben, aber ich lösch jetzt mal alles und versuch deinen Vorschlag, mehr als schief gehen kanns ja net :-) mfg - jens Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.