Objectifs de la manoeuvre

• De ce logger sur les VTY (telnet/ssh) en utilisant son compte "radius" (donc ldap, sql...)
• D'obtenir directement les privilèges de niveau 15 (équivalent a "enable")
• D'avoir une authentification EAP (WEP ou WPA) pour joindre un SSID
• De faire de l'accounting radius (telnet ET eap)

aaa new-model
!
!
aaa group server radius radiusEap
 server x.x.x.x auth-port 1812 acct-port 1813
!
aaa group server radius radiusWds
 server y.y.y.y auth-port 1812 acct-port 1813
!
aaa group server radius radiusAccount
 server z.z.z.z auth-port 1812 acct-port 1813
!
aaa authentication login aaaVty group radiusWds local-case
aaa authentication login aaaCon local-case
aaa authentication login aaaWds group radiusWds
aaa authentication login aaaEap group radiusEap
aaa authorization exec aaaVtyAuthz group radiusWds local
aaa accounting network aaaAccount start-stop group radiusAccount
!
radius-server host x.x.x.x auth-port 1812 acct-port 1813 key xxxxxxx
radius-server host y.y.y.y auth-port 1812 acct-port 1813 key xxxxxxx
radius-server host z.z.z.z auth-port 1812 acct-port 1813 key xxxxxxx

Note :

• Les 3 serveurs radius peuvent évidement n'être qu'un seul
• Les "group" de serveur peuvent héberger plusieurs entrées (redondance)
• Les configurations prefixées de "Wds" ne sont à mettre en place que sur une borne WDS Master

Activation dans la console

line con 0
 login authentication aaaCon

Nous utiliserons uniquement la base local pour la console.

Activation dans les VTY

line vty 0 4
 authorization exec aaaVtyAuthz
 login authentication aaaVty
line vty 5 15
 authorization exec aaaVtyAuthz
 login authentication aaaVty

L'autorisation étant activée sur les VTY, le serveur radius doit retourner des attributs lors des connection "telnet/ssh"

admin  User-Password := "xxxxxx"
       Service-Type = Login-User,
       Cisco-AVPair = "shell:priv-lvl=15"

Configuration d'un SSID "eap"

dot11 ssid UPPAWIFIX
   authentication open eap aaaEap
   authentication network-eap aaaEap
   accounting aaaAccount