Freeradius和cisco ssh身份验证

根据个人的实战经验，描述了FreeRADIUS的安装配置过程。FreeRADIUS+cisco 交换机ssh aaa认证。网上介绍FreeRADIUS安装配置的资料都比较旧，大部分是基于2.x版本的。本文档中涉及到的软件，都是比较新的版本，如FreeRADIUS是3.0版的，操作系统是Debian10.0.2，希望能对你有帮助 FreeRADIUS是一款强大的远程认证授权服务软件，常用于网络设备的身份验证，如SSH登录、无线接入点、PPP拨号等。结合Cisco交换机的SSH（Secure Shell）进行AAA（Authentication, Authorization, and Accounting，即认证、授权、计费）身份验证，可以实现更安全的网络管理。下面将详细介绍如何配置FreeRADIUS以及Cisco交换机来实现这一功能。 安装FreeRADIUS服务。在Debian 10.0.2系统中，可以通过`apt`包管理器进行安装： ```bash sudo apt install freeradius ``` 接着，需要修改FreeRADIUS的配置文件。主要涉及两个文件：`users`和`clients.conf`。 1. 在`/etc/freeradius/3.0/users`中添加用户，例如： ```text radmin Cleartext-Password := "Skills39", NAS-IP-Address := 192.168.99.100 ``` 这行表示用户名为`radmin`，密码为`Skills39`，客户端IP地址为`192.168.99.100`。 2. 编辑`/etc/freeradius/3.0/clients.conf`，配置Cisco交换机的信息： ```text client switch { ipaddr = 192.168.99.100 secret = Skills39 } ``` 配置完成后，通过`radtest`命令测试认证是否成功： ```bash radtest radmin Skills39 192.168.99.100 0 Skills39 ``` 如果收到`Access-Accept`消息，表示认证成功。 接下来，配置Cisco交换机。这里以Cisco IOS为例，首先启用AAA： ```cisco sw3 (config)#aaa new-model ``` 定义一个名为`AAA`的RADIUS服务器组： ```cisco sw3 (config)#aaa group server radius AAA ``` 然后配置RADIUS服务器的相关参数： ```cisco sw3 (config-sg-radius)#server-private 192.168.99.100 auth-port 1812 acct-port 1813 key SKills39 ``` 设置登录认证方式，优先使用RADIUS组`AAA`，其次使用本地认证： ```cisco sw3 (config)#aaa authentication login default group AAA local ``` 创建一个本地用户`ladmin`，密码同样为`Skills39`，用于本地验证： ```cisco sw3 (config)#username ladmin password SKills39 ``` 为了使用SSH，需要生成RSA密钥对： ```cisco sw3 (config)#crypto key generate rsa ``` 确保交换机支持SSHv2： ```cisco sw3 (config)#ip ssh version 2 ``` 配置VTY（虚拟终端）接口，只允许SSH输入： ```cisco sw3(config)#line vty 0 4 sw3(config-line)#transport input ssh ``` 现在，你可以尝试从另一台设备（如`sw2`）通过SSH登录到`sw3`： ```bash ssh -l radmin 192.168.99.254 ``` 如果需要进入特权模式，可能还需要设置`enable`密码： ```cisco sw3 (config)#enable password Skills39 ``` 至此，你已经成功配置了FreeRADIUS与Cisco交换机的SSH AAA认证。这种方式增强了网络设备的访问安全性，确保只有经过认证的用户才能进行管理操作。同时，由于使用了最新的软件版本和配置方法，能够确保系统的稳定性和兼容性。