# 配置 IP 地址并与 Radius Server 网络打通 # 开启 ssh 服务 ssh server enable # 配置 vty 认证 line vty 0 63 authentication-mode scheme user-role network-operator # 配置 radius 方案 radius scheme freeradius primary authentication 192.168.56.99 key simple testing123 # 配置 ISP 域,绑定 radius 认证方案 domain name xdai.vip authentication login radius-scheme freeradius local authorization login radius-scheme freeradius local accounting default none # 默认用户角色授权功能,如果用户没有被授权任何用户角色,将无法成功登录设备 role default-role enable network-operatorfreeradius 侧
docker run --name my-radius -p 1812:1812/udp -p 1813:1813/udp -d freeradius/freeradius-server
使用本地认证时一些需要注意的点:
-
默认使用的是本地认证,即 freeradius 所在的系统的用户名,需要修改 user 文件
-
user 配置文件中的用户名需要添加域信息,如 admin@xdai.vip,xdai.vip 为交换机中配置的 ISP 信息
-
用户的服务类型(Service-Type)为 NAS-Prompt-User,,授权使用的是 Cisco-AVPair 字段(AV:attribute-value),不授权时若网络设备未配置默认授权,则无法登录
Cisco-AVPair 值的支持以下两种格式:
- 'shell:roles="network-operator"'
- 'shell:priv-lvl=15'
-
本地用户名需要有一个密码,但是可以和配置文件中的密码不一致,最终校验是配置文件中的密码
-
本地用户名只在服务启动时加载,修改配置文件后要同步创建本地用户后再重启服务,服务启动后再新建本地用户不会生效
what AV pairs mean and what they are used for
TODO:
- 使用数据库认证 (官方已经提供了现成的 SQL,直接导入库表结构就能用)
