PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Radius /etc/raddb/users



purple.xtc
23.06.10, 16:20
Moin,

ich habe auf meinen Server einen Radius-Server aufgesetzt und einen Cisco Switch (Catalyst 2950) gegen diesen authentifiziert.
Benutzer die nun Konfigurationsarbeiten am Switch durchführen wollen, müssen vorher den Radius-Server um Zugriffserlaubnis fragen. Dabei meldet man sich mit Benutzernamen und Passwort auf dem Gerät an. Benutzername und Passwort sind in der /etc/raddb/users hinterlegt. Momentan noch im Klartext.
Gibt es keine Möglichkeit die Passwörter zu verschlüsseln, also mit einem Hash in der Datei zu hinterlegen?

Achso, noch was!
Gibt es keine andere (remote) Zugriffsmöglichkeit auf den Switch, außer telnet ?
Habe schon nach Möglichkeiten ssh auf dem Switch einzurichten gegoogelt.
Aber für dieses Modell ist das scheinbar unmöglich.

Danke schon mal vorab!

HBtux
23.06.10, 20:57
Achso, noch was!
Gibt es keine andere (remote) Zugriffsmöglichkeit auf den Switch, außer telnet ?
Habe schon nach Möglichkeiten ssh auf dem Switch einzurichten gegoogelt.
Aber für dieses Modell ist das scheinbar unmöglich.

Und was ist das? (drei Zauberwörter bei google eingetippt...)
http://www.google.de/#hl=de&source=hp&q=Cisco+2950+ssh&aq=f&aqi=g1&aql=&oq=&gs_rfai=&fp=46a5692f51805bc6

Ich denke im internen Netzwerk ist das unverschlüsselte Passwort über Telnet kein so großes Problem.

Ich habe bei uns alle Management-IP-Adressen der Cisco-Switchs in ein extra VLAN gelegt und habe eine Filterregel für die Logins eingerichtet, dass der Managementzugang nur aus dem Management VLAN und von 2-3 IP-Adressen aus dem normalen Firmen-LAN erlaubt ist... (alle anderen IPs werden schon mal zurückgewiesen)


Mit der Passwort-Verschlüsselung sollte sicherlich auch was zu finden sein.... z.B. unter den Stichworten "raddb passwort verschlüsselt"...

HBtux
23.06.10, 22:08
Ist mir gerade noch eingefallen..... --> Cisco-Forum
http://www.cisco-forum.net/forum.html?topic=1486.0

purple.xtc
24.06.10, 07:42
Und was ist das? (drei Zauberwörter bei google eingetippt...)
http://www.google.de/#hl=de&source=hp&q=Cisco+2950+ssh&aq=f&aqi=g1&aql=&oq=&gs_rfai=&fp=46a5692f51805bc6

Ich denke im internen Netzwerk ist das unverschlüsselte Passwort über Telnet kein so großes Problem.

Ich habe bei uns alle Management-IP-Adressen der Cisco-Switchs in ein extra VLAN gelegt und habe eine Filterregel für die Logins eingerichtet, dass der Managementzugang nur aus dem Management VLAN und von 2-3 IP-Adressen aus dem normalen Firmen-LAN erlaubt ist... (alle anderen IPs werden schon mal zurückgewiesen)


Mit der Passwort-Verschlüsselung sollte sicherlich auch was zu finden sein.... z.B. unter den Stichworten "raddb passwort verschlüsselt"...

Ist mir schon klar, dass das Zauberwort ssh heisst.
Leider stoße ich bei googeln immer wieder auf das selbe Ergebns.
Um ssh konfigurieren zu können, müssen folgende Zeilen eingegeben werden.
"MyRouter(config)# crypto key generate rsa".
Aber das Kommando gibt es bei meinem Switch einfach nicht Deshalb bin ich ja gerade so ratlos.
IOS Version ist 12.1.

MiGo
24.06.10, 09:54
Ob du SSH auf deinem Switch einsetzen kannst, hängt von der "Geschmacksrichtung" deines Cisco IOS ab - und wahrscheinlich hast du ein IOS ohne SSH-Unterstütung.
Wenn das der Fall ist und du wirklich SSH willst, wirst du dein IOS mit einer anderen Version überschreiben müssen, was durchaus Geld kostet.

Zeig uns doch mal die passenden Zeilen von "show version".

purple.xtc
24.06.10, 12:41
rmon#show running-config
Building configuration...

Current configuration : 2057 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname rmon
!
aaa new-model
aaa group server radius RadiusServers
server 192.168.11.227 auth-port 1812 acct-port 1813
server 192.168.11.228 auth-port 1812 acct-port 1813

.....................



Wieso kostet das Geld? Kann ich das nicht einfach runterladen und den Switch neue flashen?

MiGo
24.06.10, 13:34
"show Version", nicht "show running-config" :)



Wieso kostet das Geld? Kann ich das nicht einfach runterladen und den Switch neue flashen? Wenn du einen passenden Wartungsvertrag für den Switch hast, eventuell schon :)
Wenn du aber damit die Möglichkeiten des Switches erhöhst (SSH Support wo vorher keiner war) wirst du dafür vermutlich zahlen müssen.

Warum das Geld kostet? Weil Cisco gerne welches verdienen möchte :) Wenn du dich ärgerst, dass dein Windows Home nicht der Domäne beitreten kann, kannst du ja auch nicht kostenlos Windows Professional runterladen ^^

purple.xtc
24.06.10, 13:46
Naja, Fakt ist ich habe Version 12.1. Cisco sagt, dass sshV1 seit der Version 12.0.5 unterstüzt wird. Also sollte es ja eigentlich gehen, tut es aber nicht.

MiGo
24.06.10, 18:18
Naja, Fakt ist ich habe Version 12.1. Cisco sagt, dass sshV1 seit der Version 12.0.5 unterstüzt wird. Also sollte es ja eigentlich gehen, tut es aber nicht.
Nochmal langsam zum mitlesen :)
Die Version ist (hier) erstmal egal. Wichtig ist das Feature-Set deiner installierten IOS-Version. Da gibt es verschiedene und die unterscheiden sich in den Möglichkeiten, die das IOS anbietet.

Edit: Google sagt, hier stand nur Blödsinn

Edit2: Blödsinn durch richtigeres ersetzt - hoffe ich zumindest


System image file is "flash:c3750-ipbase-mz.122-25.SEB2/c3750-ipbase-mz.122-25.SEB2.bin"
In dem Falle wäre das Feature-Set der IOS-Version "ipbase", oft steht da auch nur eine Kombination aus Buchstaben.

HBtux
25.06.10, 12:43
Ist dies so schwierig.....? Poste doch endlich mal die Ausgabe des folgenden Befehls....!


show version

403
26.06.10, 00:02
vielleicht hat er das ISO irgendwo runtergeladen und traut sich nich?