Cisco Nexus RADIUS身份验证特权问题

Question

我正在尝试在Nexus C93180YC和Microsoft服务器之间设置RADIUS身份验证。

RADIUS服务器是可访问的，我可以登录并获得授予的权限，但是网络角色没有应用到我的配置文件中。

这意味着，虽然我能够登录，但我不能执行任何形式的priv-15命令，例如‘复制运行开始’或任何需要写权限的命令。

下面是Nexus端的配置：

version 9.3(1) Bios:version 05.38
switchname <hostname>
vdc <vdcname> id 1
  limit-resource vlan minimum 16 maximum 4094
  limit-resource vrf minimum 2 maximum 4096
  limit-resource port-channel minimum 0 maximum 511
  limit-resource u4route-mem minimum 248 maximum 248
  limit-resource u6route-mem minimum 96 maximum 96
  limit-resource m4route-mem minimum 58 maximum 58
  limit-resource m6route-mem minimum 8 maximum 8


no password strength-check
username <username1> password 5 <password1>  role network-admin
username <username2> password 5 <password2>  role network-operator
username <username2> passphrase  lifetime 99999 warntime 14 gracetime 3
username <username3>  password 5 <password3>  role network-admin
username <username3> passphrase  lifetime 99999 warntime 14 gracetime 3

radius-server host <ip> key 7 <key> authentication accounting
aaa group server radius <RADIUSGROUP>
    server <ip>

aaa authentication login default group <RADIUSGROUP>
aaa authentication login console local
aaa accounting default group <RADIUSGROUP>
login on-success log
aaa authentication login error-enable

在NPS方面，我用NEXUS创建了一个RADIUS客户端，并设置了一个条件，以便只有某个AD组的成员可以登录。我增加了要发送回的特权设置为"Vendor-ID“特定的”Cisco-AV-对“和”shell:roles=*“网络管理vdc-admin”。

当我检查Nexus交换机上的特权时，它返回为"-1“。角色“network”和“vdc”存在于Nexus交换机上。

有人能指出这个配置哪里出错了吗？

谢谢

编辑:该开关上几乎没有授权命令：

(config)# aaa authorization ?
  ssh-certificate  Configure ssh certificate
  ssh-publickey    Configure ssh publickey

Answer 1

使用freeradius用户：

test1   Cleartext-Password := "testing123"
        Service-Type = Administrative-User,
        Cisco-AVPair = "shell:roles=\"network-admin vdc-admin\""

test2   Cleartext-Password := "testing123"
        Service-Type = Administrative-User,
        Cisco-AVPair = "shell:roles=*\"network-admin vdc-admin\""

test3   Cleartext-Password := "testing123"
        Service-Type = Administrative-User,
        Cisco-AVPair = "shell:roles=\"*network-admin vdc-admin\""

test4   Cleartext-Password := "testing123"
        Service-Type = Administrative-User,
        Cisco-AVPair = "shell:roles=\"network-admin\""

所有四个测试用户都可以使用正确的角色登录。当然，它应该是等于(=)或星号(*)，而不是两者都是，但对于nxos 9.3.4似乎并不重要。

n3k-1# show user-account test1
user:test1
        roles:network-admin vdc-admin

n3k-1# show user-account test2
user:test2
        roles:network-admin vdc-admin

n3k-1# show user-account test3
user:test3
        roles:network-admin vdc-admin

n3k-1# show user-account test4
user:test4
        roles:network-admin