doc/cisco

   1 Cisco IOS and Radius
   2
   3 0.  INTRODUCTION
   4
   5 Cisco NAS equipment has become quite popular of late, but being Cisco
   6 equipment running IOS, the configuration can be a bit non-obvious to the
   7 unfamiliar.  This document aims to describe the most common configuration
   8 options to make your Ciscos interoperate with radius as you would expect a
   9 well-behaved NAS to do.
  10
  11 1.  IOS 12.x
  12
  13 For Cisco 12.x ( 12.0 and 12.1 ), the following AAA configuration directives
  14 are suggested:
  15
  16     aaa new-model
  17     aaa authentication login default group radius local
  18     aaa authentication login localauth local
  19     aaa authentication ppp default if-needed group radius local
  20     aaa authorization exec default group radius local
  21     aaa authorization network default group radius local
  22     aaa accounting delay-start
  23     aaa accounting exec default start-stop group radius
  24     aaa accounting network default start-stop group radius
  25     aaa processes 6
  26
  27 this configuration works very well with most radius servers.  One of the more
  28 important configurations is:
  29
  30     aaa accounting delay-start
  31
  32 This directive will delay the sending of the Accounting Start packet until
  33 after an IP address has been assigned during the PPP negotiation process.
  34 This will supersede the need to enable the sending of "Alive" packets as
  35 described below for IOS versions 11.x
  36
  37 *NOTE* with the above it will use the radius server to authenticate
  38 your inbound 'telnet' connections.  You will need to create an entry
  39 in your users file similar to the following to allow access:
  40
  41    !root   Password == "somepass"
  42            Service-Type = NAS-Prompt-User
  43
  44 This will let a user in for the first level of access to your Cisco.  You
  45 will still need to 'enable' ( using the locally configured enable secret )
  46 to perform any configuration changes or anything requiring a higher level
  47 of access.  The username '!root' was used as an example here, you can make
  48 this any username you want, of course.
  49
  50 2.  IOS 11.x
  51
  52 For Cisco 11.1, you normally use
  53
  54     aaa new-model
  55     aaa authentication ppp radppp if-needed radius
  56     aaa authorization network radius none
  57     aaa accounting network wait-start radius
  58
  59 to get the Cisco to talk to a radius server.
  60
  61 With IOS 11.3, you need to add:
  62
  63     aaa accounting update newinfo
  64
  65 If you want the IP address of the user to show up in the radutmp file
  66 (and thus, the output of "radwho").
  67
  68 This is because with IOS 11.3, the Cisco first sends a "Start" accounting
  69 packet without the IP address included. By setting "update newinfo" it
  70 will send an account "Alive" packet which updates the information. Cistron
  71 Radius understands the "Alive" packet since 1.5.4.3-beta7.
  72
  73
  74 Also you might see a lot of "duplicates" in the logfile. That can be
  75 fixed by
  76
  77     aaa accounting network wait radius
  78     radius-server timeout 3
  79
  80
  81 4.  CREDITS
  82
  83 Original  - Alan DeKok <aland@ox.org>
  84 12.x Info - Chris Parker <cparker@starnetusa.net>  2000-10-12
  85
  86 5.  MORE INFORMATION
  87
  88 For more information, the following page on Cisco's web site may help:
  89
  90 http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/vapp_dev/vsaig3.htm