我需要在我的思科路由器上配置本地 radius 身份验证。我有一个 Web 应用程序,我们在其中实施了双因素身份验证,它可以与其他 radius 服务器(如 freeRadius)配合使用。
我设法向思科路由器发送访问请求,但路由器总是发回访问拒绝数据包。
显示运行配置
aaa new-model
aaa session-id common
radius-server local
no authentication mac
nas 192.168.0.8 key 0 testing_new
user test2 nthash 0 0CB6948805F797BF2A82807973B89537
!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new
当我跑步时show radius local-server statistics我得到
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Unknown NAS : 16 Invalid packet from NAS: 11
NAS : 192.168.0.8
Successes : 0 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 0
Corrupted packet : 0 Unknown RADIUS message : 6
No username attribute : 1 Missing auth attribute : 0
Shared key mismatch : 0 Invalid state attribute: 0
Unknown EAP message : 0 Unknown EAP auth type : 0
Auto provision success : 0 Auto provision failure : 0
PAC refresh : 0 Invalid PAC received : 0
我没能找到适合我的情况的配置,也不知道是否有可能?有什么想法吗?我的思科配置中缺少什么?
答案1
您缺少服务器。不,您不能将路由器设置为服务器。本地身份验证不是 RADIUS。RADIUS 的全部目的是使用不同的机器进行身份验证。您设置的 IPradius-server host必须是 RAIDUS 服务器的 IP。
即使您的路由器以某种方式支持此功能(某些新型号支持内置 RADIUS 服务器,但这仅适用于 LEAP),也不建议这样做,因为大多数常用路由器几乎没有足够的资源来完成其主要任务。让路由器执行 RADIUS 可能会导致性能严重下降。
如果您不想使用物理机器,您可以将无线 AP 转变为 RADIUS 服务器。