форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение		[ Отслеживать ]

"Аутентификация на двух разных RADIUS-серверах"	+/–
Сообщение от vigogne (ok) on 14-Янв-16, 11:09
Добрый день! Есть парк оборудования Cisco, есть NPS (RADIUS от Microsoft), авторизующий пользователей в AD. Все прекрасно работает, но недавно на меня вышли админы головной организации, они тоже у себя подняли такой же NPS и требуют, чтобы они могли заходить на мое железо, но под учетками своего домена (раньше они заходили под локальными учетками). Вощемта не вопрос, думаю я, пишу такой код: aaa new-model ! ! aaa group server radius MY server name MY deadtime 1 ! aaa group server radius HEAD server name HEAD-DC1 server name HEAD-DC2 deadtime 2 ! aaa authentication login default local group MY group HEAD aaa authentication enable default none ! radius server MY address ipv4 10.0.0.254 auth-port 1645 acct-port 1646 key 7 XXXXXXXXXXXXX ! radius server HEAD-DC1 address ipv4 10.99.0.94 auth-port 1645 acct-port 1646 timeout 3 retransmit 1 key 7 YYYYYYYYYYY ! radius server HEAD-DC2 address ipv4 10.99.0.95 auth-port 1645 acct-port 1646 timeout 3 retransmit 1 key 7 YYYYYYYYYYY Вроде бы все должно быть в шоколаде, но, главадмины не могут зайти. Циски, получив от МОЕГО NPS reject, сразу отказывают во входе, а не спрашивают у следующего по списку. Если я поставлю aaa authentication login default local group HEAD group MY (т.е. поменяю последовательность серверов с списке) то зайти уже не могу я, а главадмины заходят. Отсюда вопрос, можно ли и как сделать, чтобы циски, получив reject от первого radius-сервера, спрашивали у следующего?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Аутентификация на двух разных RADIUS-серверах"	+/–
Сообщение от ShyLion (ok) on 14-Янв-16, 14:26
Нужно на своем радиусе настроить проксирование запросов на вышестоящий. Условием проброса поставить например домен вышестоящих. Циску настраивать только на свой. Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда можно настроить оба, будет резервирование. вместо домена можно по части в имени пользователя разделять, там регулярное выражение прописывается. В русской версии IAS на 2003 сервере это раздел "Обработка запроса на подключение", там задается группа внешних серверов и условие для обращения к ним. В NPS должно быть аналогично, ибо яйца те-же, вид сбоку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Аутентификация на двух разных RADIUS-серверах"	+/–
	Сообщение от vigogne (ok) on 14-Янв-16, 14:51
	>[оверквотинг удален] > поставить например домен вышестоящих. > Циску настраивать только на свой. > Либо вышестоящие должны аналогично сделать проброс на ваш, тоже по домену, тогда > можно настроить оба, будет резервирование. > вместо домена можно по части в имени пользователя разделять, там регулярное выражение > прописывается. > В русской версии IAS на 2003 сервере это раздел "Обработка запроса на > подключение", > там задается группа внешних серверов и условие для обращения к ним. В > NPS должно быть аналогично, ибо яйца те-же, вид сбоку. Большое спасибо, будем покурить :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема