<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
{page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang=EN-US link=blue vlink=purple>
<div class=Section1>
<p class=MsoNormal>Hi,<o:p></o:p></p>
<p class=MsoNormal> We
are evaluating Radiator because of its IPv6 capability, and have confirmed that
it works with our appliances for the most part. However, we have run into
one problem. We need to be backward compatible with TACACS+ V0 clients,
and I have been unable to correctly configure TACACS+ so that we can
authenticate with users either from the /etc/radiator/users file or the
/etc/passwd file on our Radiator server. Here is a copy of our radius.cfg
file:<o:p></o:p></p>
<p class=MsoNormal>-------------------------------<o:p></o:p></p>
<p class=MsoNormal># radius.cfg<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># Example Radiator configuration file.<o:p></o:p></p>
<p class=MsoNormal># This very simple file will allow you to get started with <o:p></o:p></p>
<p class=MsoNormal># a simple system. You can then add and change features.<o:p></o:p></p>
<p class=MsoNormal># We suggest you start simple, prove to yourself that it<o:p></o:p></p>
<p class=MsoNormal># works and then develop a more complicated configuration as
required.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># This example will authenticate from a standard users file
in<o:p></o:p></p>
<p class=MsoNormal># DbDir/users and log accounting to LogDir/detail.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># It will accept requests from any client and try to handle
request<o:p></o:p></p>
<p class=MsoNormal># for any realm.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># You should consider this file to be a starting point only<o:p></o:p></p>
<p class=MsoNormal># $Id: linux-radius.cfg,v 1.3 2002/03/24 23:07:49 mikem Exp
$<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>#Foreground<o:p></o:p></p>
<p class=MsoNormal>LogStdout<o:p></o:p></p>
<p class=MsoNormal>LogDir
/var/log/radius<o:p></o:p></p>
<p class=MsoNormal>DbDir
/etc/radiator<o:p></o:p></p>
<p class=MsoNormal># Use a low trace level in production systems. Increase<o:p></o:p></p>
<p class=MsoNormal># it to 4 or 5 for debugging, or use the -trace flag to
radiusd<o:p></o:p></p>
<p class=MsoNormal>Trace
5<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># Licensing information (Silva & Alfred on Aug 13th)<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>LicenseMaxRequests 0<o:p></o:p></p>
<p class=MsoNormal>LicenseExpires 2009-08-01<o:p></o:p></p>
<p class=MsoNormal>LicenseOwner Avocent Corporation USA<o:p></o:p></p>
<p class=MsoNormal># I removed the license key from this email<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># IP and port configuration (Silva & Alfred on Aug 13th)<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>BindAddress
172.26.29.68,127.0.0.1,ipv6:2ffb:2222:3333:4401:290:fbff:fe81:5f9a,ipv6:::1<o:p></o:p></p>
<p class=MsoNormal>AuthPort 1812<o:p></o:p></p>
<p class=MsoNormal>AcctPort 1813<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><ServerTACACSPLUS><o:p></o:p></p>
<p class=MsoNormal> BindAddress
172.26.29.68,127.0.0.1,ipv6:2ffb:2222:3333:4401:290:fbff:fe81:5f9a,ipv6:::1<o:p></o:p></p>
<p class=MsoNormal> Port 49<o:p></o:p></p>
<p class=MsoNormal> Key cyclades-tacacs<o:p></o:p></p>
<p class=MsoNormal></ServerTACACSPLUS><o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># You will probably want to add other Clients to suit your
site,<o:p></o:p></p>
<p class=MsoNormal># one for each NAS you want to work with<o:p></o:p></p>
<p class=MsoNormal><Client DEFAULT><o:p></o:p></p>
<p class=MsoNormal> Secret
cyclades<o:p></o:p></p>
<p class=MsoNormal> DupInterval 0<o:p></o:p></p>
<p class=MsoNormal></Client><o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><Realm DEFAULT><o:p></o:p></p>
<p class=MsoNormal> <AuthBy
FILE><o:p></o:p></p>
<p class=MsoNormal>
Filename %D/users<o:p></o:p></p>
<p class=MsoNormal> </AuthBy><o:p></o:p></p>
<p class=MsoNormal># <AuthBy UNIX><o:p></o:p></p>
<p class=MsoNormal>#
Identifier System<o:p></o:p></p>
<p class=MsoNormal>#
Filename /etc/passwd<o:p></o:p></p>
<p class=MsoNormal># </AuthBy><o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> # Log accounting
to a detail file<o:p></o:p></p>
<p class=MsoNormal> AcctLogFileName
%L/detail<o:p></o:p></p>
<p class=MsoNormal></Realm><o:p></o:p></p>
<p class=MsoNormal><AuthBy SYSTEM><o:p></o:p></p>
<p class=MsoNormal> Auth-Type System<o:p></o:p></p>
<p class=MsoNormal></AuthBy SYSTEM><o:p></o:p></p>
<p class=MsoNormal>-----------------------------------<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Here are the pertinent users from our users file:<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>u_global User-Ppassword = u_global<o:p></o:p></p>
<p class=MsoNormal> Service-Type =
Framed-User,<o:p></o:p></p>
<p class=MsoNormal> Framed-Protocol =
PPP<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>u_login Auth-Type = System<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>ldelpilar Auth-Type =
System<o:p></o:p></p>
<p class=MsoNormal> Service-Type =
Framed-User<o:p></o:p></p>
<p class=MsoNormal> Framed-Protocol =
PPP<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>I am assuming that u_global would authenticate from the
users file itself, but u_login and/or ldelpilar would authenticate from /etc/passwd.
I have added the last two users to /etc/passwd on the Radiator server. We
have the ability to configure our appliance to be either a V0 or V1 Client, and
have confirmed that it works with a freeradius RADIUS server.<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Please give me any configuration advice you can, and confirm
that Radiator works with both types of TACACS+ client.<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Regards,<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Al Roth<o:p></o:p></p>
</div>
</body>
</html>