Domain login via RADIUS auf 3com 4500g

drneopren
Goto Top
Hallo,

Ich habe folgendes Problem,

Ich habe einen 3com 4500g Switch wie folgt fuer RADIUS domain login konfiguriert.


Ich kann auch per Console oder per SSH und meinem Domain Login mich auf dem Switch einloggen.

Allerdings komme ich ueber ssh nur in den privilege mode 0 ... und wenn ich ueber "super" ne ebene hoeher gelangen moechte, bekomm ich ne fehlermeldung.
Ueber Console kann ich bis in den privilege mode 3.

Irgendwer ne Idee was ich in der Konfiguration aendern muss, damit die User die ueber SSH sich auf den switch connecten auch in den "manager" mode kommen?

Beste,
Neopren

Content-Key: 100981

Url: https://administrator.de/contentid/100981

Ausgedruckt am: 21.05.2022 um 01:05 Uhr

Mitglied: floaty
floaty 03.04.2010 um 19:35:59 Uhr
Goto Top
vermutlich kommt der beitrag wieder 2 jahre zu spaet ... egal maybe isses ja gut fuer refuerbished equipment : )

... gerade das selbe problem beim kunden gehabt, (liebe gruesse an dieser stelle ins reich der mitte [ auch chinesische radius-server muessen verkauf werden ] , aber die verfuegbare doku ist schlamm am bauch eines aals.

ich hab das zeug mit der local-server function von h3c (3com) debugged (leider erst meine zweite idee) und die nicht dokumentierten radius-attribute rausgepopelt:

tasks:

die folgenden schritte orientieren sich an einer debian/freeradius installation, sind aber auf alle anderen rads adaptierbar ...
dictionary des radius-servers anpassen:

spezielle vendor-attribute ergaenzen:

in meinem vendor file fehlte 29 und dat braucht man !





beim local-radius des 4210-switch von 3com werden sowohl das h3c als auch das 3com attribute geliefert, hier darf experimentiert werden, ob eines der beiden reicht ..!?



das ist der PUNKT !!! (3com-50 [ - von mir so genannt - ist ssh ] ... 3com-52 evtl.ftp ... nicht ausproboiert und nicht sicher !)



3com / H3C Switch-Config



freeradius users-file








freeradius-debug ...:



switch-debug




freilich kann man auch einen eigenen radius-server als proxy aufsetzen und den local-radius auf einem 3com/h3c-switch nutzen (der kann max. 7 radius-clients verknusen ... ab sieben muss also proximiert werden), das spart das gefummel in den dictionary-files ... ... eigentlich haette man alan de'kok auch die relevanten dictionaries rueberreichen koennen ... und fertich ... egal ...