Cisco 2960 radius配置

Question

我有多个思科交换机，如Nexus家族和IOS家族交换机，现在我正在尝试配置集中身份验证，所以我安装了Freeradius和freeIPA (ldap服务器)。

我在LDAP中创建了两个组net-admin和net-operator (只读视图)，然后在/etc/raddb/user文件中在freeradius中创建了map。

# Cisco ldap group def:
#
DEFAULT  ldap1-Ldap-Group == "cn=net-admin,cn=groups,cn=compat,dc=example,dc=com"
         Service-Type = Administrative-User,
         Service-Type = Login-User,
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:roles=network-admin",
         Cisco-AVPair += "shell:priv-lvl=15"

DEFAULT  ldap1-Ldap-Group == "cn=net-operator,cn=groups,cn=compat,dc=example,dc=com"
         Service-Type = Administrative-User,
         Service-Type = Login-User,
         Service-Type = NAS-Prompt-User,
         Cisco-AVPair = "shell:roles=net-operator",
         Cisco-AVPair += "shell:priv-lvl=1"

配置了所有思科nexus交换机，aaa为radius和一切工作的伟大！

现在到了Cisco 2960交换机，这是非常奇怪的行为，我已经配置了以下。

aaa new-model
!
!
aaa authentication login default group radius local
aaa authorization exec default local
aaa authorization network default local
!
radius-server host 10.10.10.25 auth-port 1812 acct-port 1813 key Secret123

当我尝试登录cisco 2960交换机时，它失败了，所以我只创建了本地帐户，以查看它是否工作，因此我做了以下操作

2960(config)# username spatel password foo

现在，我可以登录思科2960交换机使用我的LDAP密码，而不是foo，所以问题是，为什么思科2960不查看LDAP帐户，而是查看本地？

Answer 1

这一行：

aaa authorization exec default local

不允许使用Radius凭据启动shell (Exec)。你应该把它改为：

aaa authorization exec default group radius local