我的 Mikrotik NAS 位于 NAT 后面,因此它只有一个私有网络 IP 地址。因此,对于身份验证,我使用公共 IP 地址,效果很好。但是当 Freeradius(托管)必须将 COA 请求发送到 Mikrotik 时,它会失败,因为它无法使用公共 IP 到达。 如果我使用私有 IP,它也无法被识别。我正在使用 Mikrotiks 传入请求计数器来检查传入请求,但没有一个到达它。 如果我使用本地部署的 Freeradius 进行测试,请求至少会到达 Mikrotik。但我仍然需要能够将托管的 Freeradius 与 NAT 后面的 NAS 一起使用...
我目前正在为我的客户设置一个 VOIP 网络,其中包括 802.1x 和 MAB 身份验证。 正常的身份验证序列如下: 交换机检测到没有 802.1x 协议设置的新机器,向 ISE 节点发送 MAB 请求。 ISE 节点在 LDAP 服务器中查找 MAC 地址,并根据它是位于“计算机”组还是“电话”组中,将其设置在正确的 VLAN 中以进行暂存。 设备自动配置并授予其证书 设备重新启动,并使用正确的证书,其 802.1x 请求再次发送到 ISE 服务器,该服务器这次根据 LDAP 检查证书并授权连接到生产 VLAN。 我的问题如下:我的客户决定所...
在我们的校园局域网中,我们使用 WPA2 协议,并且用户有一个通用密码。 目前有多个 WAP,但我们还需要一些 wifi 范围扩展器(范围扩展器是 TP Link TL-WA855RE)来覆盖无法安装 WAP 的区域的盲点。 我们希望获得 AAA 配置来保护网络。我的问题是 - 在 AAA 配置后我们是否能够使用范围扩展器。我对网络的了解非常有限,我试图用这些有限的知识来描述我的问题,请耐心等待。 ...
目前,我正在使用本地数据库在 pfSense 上进行身份验证。我知道 Cisco 的 IOS 有备用身份验证方法,以应对主服务器发生故障的情况。如果所有服务器都发生故障,您甚至可以根本不进行身份验证。我想使用 AD 用户库来组织用户控制,但这里有一个问题,当 AD 发生故障时会发生什么,pfSense 可以跳转到本地数据库吗? ...
再会! 我登录了位于我们公司网络中的 Cisco 管理路由器并发出命令show users,它给出了以下输出。第三行 vty 4 是我。我担心另外 2 个条目,因为我 100% 确定除了我之外没有人会在这一个小时内从内部登录路由器。此外,这些条目不包含用户名。我已将这些用户的 IP 追踪到全球不同位置。命令的输出不时发生变化。 这些没有用户名的条目是什么意思? 谢谢你! ...
我们的网络设置由分布在全球 5 个不同位置的 5 个网络接入服务器组成,预计在未来几天内将扩展到 15 个网络接入服务器,未来还会扩展到更多。目前我们使用脚本进行身份验证,但我们计划使用基于 freeradius 的 AAA 对这些 NAS 服务器进行身份验证和记账,因为利用记账数据可以带来很多好处。预计未来几天用户负载将增长到数十万用户。我的问题是从可扩展性的角度向具有此类架构实践经验的专家提出的。在这样的设置中使用哪种 freeradius 拓扑最好? 由多个半径节点组成的集中式半径 AAA 服务是否比分布式半径 AAA 服务(即每个 NAS 一个半径...
一段时间以来,我一直使用 2008 R2 作为 Radius 服务器,并且我有一个配置为 Radius 客户端且运行正常的 Cisco ASA FW。我引入了另一个 Windows 2012 DC,并直接从书中为 NPS 配置了相同的策略。 但是,当我在 ASA 的 ASDM 中的 AAA 服务器组中进行测试时,出现 AAA 身份验证错误。 我已经在 ASA 上完成了调试半径并得到以下结果: 解析数据包数据..... 半径:代码 = 3 (0x03) 半径:标识符 = 176 (0xB0) 半径:长度 = 20 (0x0014) 半径:矢量:4...
我需要配置 TACACS+ 服务器以了解给定用户是否经过身份验证*以及他的权限级别是多少。作为客户端,我使用 tactest (tacacs.net) 和 TACACS+ 客户端 Java 库 (AXL)。 我尝试过这个: user = admin { name = “Admin User” login = cleartext admin service = exec { priv-lvl = 10 } } 并且可以作为管理员进行身份验证,但无法获取他的特权级别。 以下是 tactest 的输出: C:\P...
我似乎找不到关于如何为我的一个 radius 客户端设置网络策略的良好教程。 我希望我的radclientAwithpolicyA能够进行身份验证,并且radclientBwithpolicyB能够进行身份验证。 但似乎如果我有一个策略,所有添加的 radius 客户端都将根据该策略进行身份验证。 这是否意味着我必须针对每个想要设置的策略配备不同的 radius 服务器? ...
当我发出这个命令时: aaa accounting commands 15 default start-stop group myradiusgroup 我收到此错误:%AAAA-4-SERVNOTACPLUS:服务器组“myradiusgroup”不是 tacacs+ 服务器组。请将“myradiusgroup”定义为 tacacs+ 服务器组。 在文档中我找不到任何说明“命令”记帐类型仅适用于 tacacs+ 的内容。aaa 不支持 radius 的这种记帐类型吗? ...
我正在尝试将 Server 2008 R2 NPS 连接到 MSSQL 服务器以记录会计数据,但遇到了问题。 我通过“配置会计”向导配置了 NPS 会计,并使用 Windows 集成安全性连接到我的 MSSQL 服务器(2012 express)并创建一个用于会计的数据库。 当我测试它时,我的 NPS 生成了一个 6274 事件:“...无法写入配置的会计数据存储”。 查看我的数据库服务器,我看到一个 18456 事件:“用户‘mydom\npsserver$’登录失败。原因:无法打开明确指定的数据库‘myNPSDB’。[客户端:NPS.servers...
我想知道如何在 Linux 控制台 (bash) 上授权(仅允许一组命令)用户。到目前为止,我能够通过 TACACS+ 验证 ssh 用户,但授权不起作用。 这是我的 tac_plus.conf 文件,为了测试确实进行了简化: accounting file = /tmp/tacacs.acc #default authentication = file /etc/passwd user=bart { default service = deny pap = cleartext "bart" service = ppp p...
我有一个 Netscaler 部署,其中包含一个虚拟服务器,我已通过 AAA 应用程序流量功能启用身份验证。正如预期的那样,这允许我的用户登录到 netscaler 登录提示一次,然后让 sso 适用于 netscaler 后面的所有应用程序。 通过 Access Gateway,我们还集成了 Citrix,为用户提供了虚拟非个人桌面 (xenapp?)。在此桌面中,用户已全部登录,当他们使用 AAA 打开 VS 后面的网站时,必须再次登录,这真是太麻烦了…… 有没有办法为 AAA 登录页面启用 SSO?这样,以有效用户身份登录到系统的用户就可以自动登录...
我知道这个问题在这里已经有人问过了,但我似乎无法弄清楚。我试图让 radius 故障转移到本地身份验证,但每当我关闭 radius 时它都不会故障转移。以下是我的配置: aaa new-model aaa authentication login WindowsAD group radius local aaa authorization exec WindowsAD group radius local enable password 7 05080F1C22431F5B4A line vty 0 4 password 7 0822455...
我们有一对 ASA 5510(8.4.3),我们使用 LDAP 身份验证进行 VPN 和 SSH 访问。在所有使用 RADIUS 的 Catalyst 交换机上,我们都能够在 RADIUS 配置(2008R2 NPS)中将 shell:priv-lvl 设置为 15。但是,我在 ASA 上(包括在所有 Cisco 文档中)找到的最佳方法是滥用其他字段,例如职位或公司,方法是将“15”粘贴到其中并将其映射到 AAA 配置中的特权级别 RADIUS 属性。我真正想要做的是为 AD 组中的任何人分配 ASA 上的 L15 特权,而无需输入共享密码。有人知道是否有办...