https://opennet.ru/openforum/vsluhforumID6/10594.html Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов<br><br>1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами <br>2) Настроить proxy.conf одного из RADIUS-сервера<br><br> https://opennet.ru/openforum/vsluhforumID6/10594.html#9 Wed, 14 Jul 2010 05:55:22 GMT доброго всем времени суток! я вот тоже столкнулся с проблемой резервирования Radius-сервера для проверки подлинности пользователей (dot1x). как настроить cisco 2960 на работу с 2-мя RADIUS-серверами аутентификации по dot1x, один постоянный другой резервный на случай выхода из строя основного. <br>На обоих серверах настроен FreeRadius по 1812-1813 портам для доступа на активное оборудование и виндовый радиус по портам 1645-1646 для аутентификации по dot1x пользователей сети.<br>Вот часть конфига<br>aaa new-model<br>! <br>! <br>aaa group server radius RADMIN<br> server 192.168.17.185 auth-port 1812 acct-port 1813<br> server 192.168.17.186 auth-port 1812 acct-port 1813<br>! <br>aaa group server radius DOT1X<br> server 192.168.17.185 auth-port 1645 acct-port 1646<br> server 192.168.17.186 auth-port 1645 acct-port 1646<br>! <br>aaa authentication login default group radius local<br>aaa authentication login ADMINS group RADMIN local<br>aaa authentication enable default enable<br>aaa authentication dot1x default group https://opennet.ru/openforum/vsluhforumID6/10594.html#8 Fri, 30 Jun 2006 05:09:51 GMT &gt;&gt;Попробуйте использовать group server radius. Например, <br>&gt;&gt;<br>&gt;&gt;aaa group server radius group1 <br>&gt;&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt;&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;&gt;<br>&gt;&gt;aaa accounting connection h323 start-stop group group1 <br>&gt;&gt;<br>&gt;&gt;или одновременно, accounting <br>&gt;&gt;<br>&gt;&gt;aaa group server radius group1 <br>&gt;&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt;&gt;aaa group server radius group2 <br>&gt;&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;&gt;aaa accounting connection h323 start-stop broadcast group group1 group group2 <br>&gt;<br>&gt;<br>&gt;Добрый день, попробовал оба способа, <br>&gt;<br>&gt;но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере, <br>&gt;<br>&gt;если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит. <br>&gt;<br>&gt;&#124; <br>&gt;&#124; <br>&gt;# первый сервер <br>&gt;aaa group server radius freeradius <br>&gt; server 172.22.3.151 auth-port 1812 acct-port 1813 <br>&gt;! <br>&gt;# второй сервер <br>&gt;aaa group server radius freeradius_1 <br>&gt; server 172.22.3.158 auth-port 1812 acct-port 1813 <br>&gt;&#1 https://opennet.ru/openforum/vsluhforumID6/10594.html#7 Fri, 26 May 2006 02:10:44 GMT &gt;Попробуйте использовать group server radius. Например, <br>&gt;<br>&gt;aaa group server radius group1 <br>&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;<br>&gt;aaa accounting connection h323 start-stop group group1 <br>&gt;<br>&gt;или одновременно, accounting <br>&gt;<br>&gt;aaa group server radius group1 <br>&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt;aaa group server radius group2 <br>&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;aaa accounting connection h323 start-stop broadcast group group1 group group2 <br><br><br>Добрый день, попробовал оба способа, <br><br>но авторизация всегда проходит только если "учетная запись" есть на ПЕРВОМ сервере, <br>если я подключаюсь с "учетной записью" ВТОРОГО сервера, то не проходит.<br><br>&#124;<br>&#124;<br># первый сервер<br>aaa group server radius freeradius<br> server 172.22.3.151 auth-port 1812 acct-port 1813<br>!<br># второй сервер<br>aaa group server radius freeradius_1<br> server 172.22.3.158 auth-port 1812 acct-port 1813<br>&#124;<br>&#124;<br><br><br>если поменять местами<br>&#124 https://opennet.ru/openforum/vsluhforumID6/10594.html#6 Thu, 25 May 2006 13:55:29 GMT &gt;Попробуйте использовать group server radius. Например, <br>&gt;<br>&gt;aaa group server radius group1 <br>&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;<br>&gt;aaa accounting connection h323 start-stop group group1 <br>&gt;<br>&gt;или одновременно, accounting <br>&gt;<br>&gt;aaa group server radius group1 <br>&gt; server 1.1.1.1 auth-port 1645 acct-port 1646 <br>&gt;aaa group server radius group2 <br>&gt; server 2.2.2.2 auth-port 1645 acct-port 1646 <br>&gt;aaa accounting connection h323 start-stop broadcast group group1 group group2 <br><br>Попробую, а proxy.conf не нужен или в паре это?<br><br><br> https://opennet.ru/openforum/vsluhforumID6/10594.html#5 Thu, 25 May 2006 13:41:20 GMT Попробуйте использовать group server radius. Например,<br><br>aaa group server radius group1<br> server 1.1.1.1 auth-port 1645 acct-port 1646<br> server 2.2.2.2 auth-port 1645 acct-port 1646<br><br>aaa accounting connection h323 start-stop group group1<br><br>или одновременно, accounting <br><br>aaa group server radius group1<br> server 1.1.1.1 auth-port 1645 acct-port 1646<br>aaa group server radius group2<br> server 2.2.2.2 auth-port 1645 acct-port 1646<br>aaa accounting connection h323 start-stop broadcast group group1 group group2<br><br><br> https://opennet.ru/openforum/vsluhforumID6/10594.html#4 Thu, 25 May 2006 05:35:51 GMT &gt;не в курсе, умеет ли твоя это делать, но если не умеет, <br>&gt;то ответ напрашивается сам собой: <br>&gt;1. настраиваешь proxy.conf <br>&gt;2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf), <br>&gt;то кошка обратится ко второму радиусу. <br><br>Я не спец в cisco, след-но не знаю, может ли она работать с двумя RADIUS-серверами<br>во вторых, второй RADIUS-сервер не резервный, а дополнительный, то есть они (RADIUS-серверы) имеют каждый свою биллиноговую систему, точнее учет.<br><br>Мне нужна такая последовательность действий, <br>cisco запрашивает авторизацию на ПЕРВОМ, если не удачно, то перейти на ВТОРОЙ.<br>настраиваю proxy.conf на ПЕРВОМ, и clients.conf на ВТОРОМ, но авторизация не проходит, если учетная запись на ВТОРОМ сервере.<br><br>вот прописал в конфигах следующее<br><br>172.22.3.151 Основной radius-сервер <br>172.22.3.158 Дополнительный radius-сервер <br><br>#В Файле proxy.conf на 172.22.3.151 записал следующее<br>realm NULL {<br> type = radius<br> authhost = 172.22.3.158:1812<br> a https://opennet.ru/openforum/vsluhforumID6/10594.html#3 Thu, 25 May 2006 05:18:41 GMT не в курсе, умеет ли твоя это делать, но если не умеет, то ответ напрашивается сам собой:<br>1. настраиваешь proxy.conf<br>2. настраиваешь кошку на работу с двумя радиусами. если первый падает (proxy.conf), то кошка обратится ко второму радиусу.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/10594.html#2 Wed, 24 May 2006 23:07:49 GMT &gt;&gt;Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов <br>&gt;&gt;<br>&gt;&gt;1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами <br>&gt;&gt;2) Настроить proxy.conf одного из RADIUS-сервера <br>&gt;<br>&gt;<br>&gt;в случае, если у тебя падает этот самый проксирующий радиус, то ты <br>&gt;имеешь облом даже в случае если у тебя второй радиус жив. <br>&gt;<br>&gt;первый вариант имхо предпочтителен <br><br>Спасибо, но еще один вопрос, я наткнулся на следующий камень, вот здесь<br><br>http://www.opennet.ru/openforum/vsluhforumID6/579.html<br><br>сказано, что cisco не умеет работать с двумя RADIUS-серверами. <br>у меня AS 5300, эта cisco тоже не умеет?<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/10594.html#1 Wed, 24 May 2006 08:02:56 GMT &gt;Здравствуйте, у меня вопрос, что лучше для работы двух RADIUS-серверов <br>&gt;<br>&gt;1) Настроить cisco As 5300 на работу с двумя RADIUS-серверами <br>&gt;2) Настроить proxy.conf одного из RADIUS-сервера <br><br><br>в случае, если у тебя падает этот самый проксирующий радиус, то ты имеешь облом даже в случае если у тебя второй радиус жив.<br>первый вариант имхо предпочтителен