giusi1
Goto Top

Switch 3560G local login und über Radius login

Hallo und guten Tag allerseits

Ich habe die Frage gestern in Netz gestellt. Warum es auch immer als gelöst kam weiss ich nicht. Aber mein Problem ist nicht gelöst.


Ich habe ein Switch 3560G konfiguriert und am Radius angebunden. Ich möchte nun aber auf diesem Switch auch local einloggen können. Habe so viel gefunden und gelesen dass ich nicht mehr weiter komme. (vor lauter Bäume sieht man den Wald nicht)
nach meinem wissen sollte das doch gehen. Könnte Ihr mir ein tipp/Beispiel geben?


Besten Dank für Eure Hilfe


Gruss
Giusi1

Content-Key: 242700

Url: https://administrator.de/contentid/242700

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: brammer
brammer 04.07.2014 um 08:55:51 Uhr
Goto Top
Hallo,

das einfachste wäre wenn du die Config, anonymisiert, mal postest...

Dann könnte man nach schauen was fehlt.

brammer
Mitglied: Giusi1
Giusi1 04.07.2014 um 09:51:57 Uhr
Goto Top
Hallo Brammer
Vorab Danke anbei die Konfig von meinem 3560G Switch der Radius Login funktioniert aber der Locale nicht.
Gruss und Danke

version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname TestSwitch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$.riM$1Y2pVCy1n6FzM.ce4C4Fu/
enable password 7 15150219172F3B342D
!
username test privilege 15 secret 5 $1$dPYV$GKisWKHeeB7E3X4YXs7CC.
username TestSwitch
aaa new-model
!
!
aaa group server radius IAS
server 192.xxx.x.xx auth-port 1812 acct-port 1813
!
aaa authentication login cisco group radius local
aaa authentication login TestSwitch group radius local
!
!
!
aaa session-id common
system mtu routing 1500
ip subnet-zero
ip domain-name xxxxxxx.xxxxxx
!
!
!
crypto pki trustpoint TP-self-signed-3763642368
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3763642368
revocation-check none
rsakeypair TP-self-signed-3763642368
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface GigabitEthernet0/1
switchport access vlan xx
switchport trunk encapsulation dot1q
switchport trunk allowed vlan xx
switchport mode trunk
speed 1000
duplex full
spanning-tree portfast
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface GigabitEthernet0/29
!
interface GigabitEthernet0/30
!
interface GigabitEthernet0/31
!
interface GigabitEthernet0/32
!
interface GigabitEthernet0/33
!
interface GigabitEthernet0/34
!
interface GigabitEthernet0/35
!
interface GigabitEthernet0/36
!
interface GigabitEthernet0/37
!
interface GigabitEthernet0/38
!
interface GigabitEthernet0/39
!
interface GigabitEthernet0/40
!
interface GigabitEthernet0/41
!
interface GigabitEthernet0/42
!
interface GigabitEthernet0/43
!
interface GigabitEthernet0/44
!
interface GigabitEthernet0/45
!
interface GigabitEthernet0/46
!
interface GigabitEthernet0/47
!
interface GigabitEthernet0/48
!
interface GigabitEthernet0/49
!
interface GigabitEthernet0/50
!
interface GigabitEthernet0/51
!
interface GigabitEthernet0/52
!
interface Vlan1
no ip address
!
interface Vlanxxx
ip address 192.xxx.xxx.xxx 255.255.255.0
!
ip default-gateway 192.xxx.xxx.x
ip classless
ip http server
ip http secure-server
!
ip radius source-interface GigabitEthernet0/1
radius-server host 192.xxx.x.xx auth-port 1812 acct-port 1813
radius-server key 7 105A0C0A11
!
control-plane
!
!
line con 0
login authentication Hans
line vty 0 4
password 7 021201481F
login authentication TestSwitch
transport input telnet ssh
line vty 5 15
password 7 111D1C1603
!
end
Mitglied: brammer
brammer 04.07.2014 um 10:31:36 Uhr
Goto Top
Hallo,

dir fehlt ein <Login Local> und ein User

line con 0
 logging synchronous
 login local

username <Username> privilege 15 secret <DEIN_PASSWORT>

Das sollte passen

brammer
Mitglied: aqui
aqui 04.07.2014 aktualisiert um 11:34:36 Uhr
Goto Top
Das "login local" auf der con 0 bedeutet dann aber nur das auf der Konsole dann statt Radius nur ein local login gemacht wird. Wie gesagt das gilt ausschliesslich nur für die serielle Konsole am Switch.
Die Kardinalsfrage ist was der TO denn nun genau meint mit "Ich möchte nun aber auf diesem Switch auch local einloggen können. " ??
Denn der Rest der Konfig ist soweit richtig denn in der aaa Authentication ist die Reihenfolge erst Radius - dann Local definiert, also der Switch macht immer erst Radius und wenn das nicht klappt dann eine Local Authentisierung.
Bedenke immer das der Switch dann eine Timeout Zeit hat für den Radius Request. Sollte der Radius Server aus welchen Gründen auch immer mal nicht erreichbar sein versucht er es eine zeitlang. Wenn in dieser Timeout Zeit kein Radius Reply kommt erst dann authentisiert er über den Local User.
Im Radius Ausfall hat man also immer eine "Gedächtnisminute" beim Login !

P.S.: Die sinnfreie Auflistung der unkonfigurierten Interfaces hattest du aus dem Posting der Übersichtshalber löschen können face-sad
Mitglied: Giusi1
Giusi1 04.07.2014 um 11:34:19 Uhr
Goto Top
Hallo brammer
vorab danke
leider kann ich den Login local command nicht absetzen egal wo ich im CLI bin. hast du eine Idee? der Rest hat funktioniert.


#lin console 0
TestSwitch(config-line)#logg
TestSwitch(config-line)#logging syn
TestSwitch(config-line)#logging synchronous
TestSwitch(config-line)#log
TestSwitch(config-line)#login local
^
% Invalid input detected at '^' marker.

TestSwitch(config-line)#exit
TestSwitch(config)#login local
^
% Invalid input detected at '^' marker.

TestSwitch(config)#
Mitglied: aqui
aqui 04.07.2014 um 11:38:22 Uhr
Goto Top
Na ja "con 0" musst du schon angeben sonst weiss der Switchh ja logischerweise nicht wo !!

TestSwitch(config)#line con 0
TestSwitch(config-line)#login local


Ansonsten das was der kundige Cisco Konfigurator immer macht nämlich mal ein "?" nach dem line Kommando einzugeben um mal zu sehen welche CLI Optionen du überhaupt hast !!!

TestSwitch(config)#line con 0
TestSwitch(config-line)#login ?


http://www.coufal.info/cisco_ios/index.shtml
Mitglied: Giusi1
Giusi1 04.07.2014 um 11:53:23 Uhr
Goto Top
Hallo aqui


danke den con 0 hatte ich bereits durchgeführt. den Login ? auch. Es ist nichts mit Login local vorhanden, was ich sehe ist die Authentication..

TestSwitch#conf term
Enter configuration commands, one per line. End with CNTL/Z.
TestSwitch(config)#line
TestSwitch(config)#line con 0
TestSwitch(config-line)#logi
TestSwitch(config-line)#login ?
authentication Authentication parameters.

TestSwitch(config-line)#login


Gruss und danke
Mitglied: aqui
aqui 04.07.2014 aktualisiert um 11:59:35 Uhr
Goto Top
Also... dann ists logischerweise:

TestSwitch(config)#line con 0
TestSwitch(config-line)#login authentication local

Fertisch !
Wie gesagt das gilt nur und ausschliesslich für die serielle Konsole !! Damit hast du dann dort die zusätzliche Radius Auth abgeschaltet und machst dort nur eine local Auth ! Es gilt nicht für Telnet und SSH. Dort machst du in der Reihenfolge immer erst Radius und sollte das fehlschlagen dann Local.
Mitglied: Giusi1
Giusi1 04.07.2014 um 12:02:43 Uhr
Goto Top
Hallo Aqui

so einfach scheint es nicht zu sein. Auch dein vorschlagt haut nicht ganz hin. Kann ich das Warning ignorieren?

Gruss und danke


TestSwitch(config)#line
TestSwitch(config)#line con
TestSwitch(config)#line console 0
TestSwitch(config-line)#logi
TestSwitch(config-line)#login ?
authentication Authentication parameters.

TestSwitch(config-line)#login auth
TestSwitch(config-line)#login authentication ?
WORD Use an authentication list with this name.
default Use the default authentication list.

TestSwitch(config-line)#login authentication local
TestSwitch(config-line)#login authentication local
AAA: Warning authentication list "local" is not defined for LOGIN.

TestSwitch(config-line)#