Autenticación AAA basada en servidor (RADIUS) en Router CiscoPublished 08/15/2012 CCNA , CISCO , Linux , MySQL , Networking 5 Comments Etiquetas: Alberto Castillo Estebas, CISCO, debian, linux

En la anterior entrada “Servidor RADIUS con Debian, FreeRADIUS y

MySQL”completamos la configuración de un servidor Radius para que fuese capaz de

autenticar a clientes remotos. En esta nueva entrada, vamos a completar el proceso

configurando lo necesario para que un cliente remoto, en este caso un Router Cisco, realice

la autenticación de usuarios a traves de nuestro servidor Radius.

En primer lugar vamos a proceder a  configurar el Router Cisco para autenticación AAA

basada en servidor:

Comenzamos por las configuraciónes básicas, contraseña del modo enable y la ip del

Router:

R1(config)# enable secret cisco

R1(config)# interface fastethernet 1/0

R1(config-if)# ip address 10.1.1.254 255.255.255.0

R1(config-if)# no shutdown

R1(config-if)# exit

Ahora habilitamos AAA en el Router, para ello:

1. Primero creamos un usuario y contreseña.

2. Activamos AAA con el comando aaa new-model.

3. Establecemos los metodos de autenticación, en este caso establecemos que se

autentique mediante el servidor RADIUS y en caso de que no se pueda establecer conexión

con el servidor, establecemos como metodo secundario la base de datos local del Router.

4. Le indicamos la interface a la que esta conectado el servidor RADIUS.

5. Por último, agregamos el servidor RADIUS, indicando la ip, el puerto de autenticación y

la key (clave secreta compartida con el servidor).

R1(config)# username local password local

R1(config)# aaa new-model

R1(config)# aaa authentication login default group radius local

R1(config)# ip radius source-interface fastethernet 1/0

R1(config)# radius-server host 10.1.1.5 auth-port 1812 key radius

Ahora procedemos a configurar las lineas vty, para establecer las conexiones remotas, en

el ejemplo le indicamos que el método de autenticación será la lista por defecto que hemos

creado en el apartado anterior:

R1(config)# line vty 0 4

R1(config-line)# login authentication default

R1(config-line)# exit

Y con esto hemos completado la configuración en el Router.

Ahora accedemos al servidor FreeRADIUS e introducimos los datos del Router Cisco:

Para ello accedemos a la base de datos radius:

# mysql -u root -p radius

Insertamos los datos del Router:

mysql > INSERT INTO nas (nasname, shortname, type, secret)

VALUES (‘10.1.1.254′, ‘R1′, ‘cisco’, ‘radius’);

Lo vemos en la imagen:

(En la

entrada anterior tenéis una breve explicación de cada campo que acabamos de insertar).

Reiniciamos el servidor FreeRADIUS:

# service freeradius restart

Y ya tenemos todo listo así que desde un pc intentamos acceder al router por telnet y nos

logueamos con un usuario y contraseña que hayamos introducido en la base de datos del

servidor Radius

# telnet 10.1.1.254

Si todo va bien podremos loguearnos sin problemas como vemos en la imagen:

Si queremos comprobar las sesiones que hay iniciadas en el router podemos usar el siguiente

comando:

R1# show aaa sessions

Y nos mostrara una salida similar a la imagen, en la que nos muestra entre otros datos, los

usuarios que tienen iniciada sesion y la ip desde donde conectan: