Capítulo 15
Configuración de los servidores RADIUS y TACACS+
390
Para inhabilitar la autorización, utilice el comando de configuración global
no aaa authorization {network | exec}
Configuración del paquete de desconexión
El paquete de desconexión (PoD) también se denomina mensaje de desconexión.
Puede encontrar información adicional sobre el PoD en el estándar de internet
RFC 3576 del Internet Engineering Task Force (IETF).
El paquete de desconexión comprende un método para poner fin a una sesión que
ya se ha establecido. El PoD es un paquete RADIUS Disconnect_Request y ha
sido diseñado para su uso en situaciones en las que el servidor agente autenticador
quiere desconectar al usuario una vez que la sesión ha sido aceptada por el paquete
RADIUS access_accept. Esto puede ser necesario en al menos dos situaciones:
• La detección de un uso fraudulento que no puede llevarse a cabo antes de
aceptar la llamada.
• La desconexión de usuarios de punto caliente una vez que su tiempo de
acceso de prepago ha expirado.
Cuando se ha puesto fin a una sesión, el servidor RADIUS envía un mensaje de
desconexión al servidor de acceso a la red (NAS); un punto de acceso o WDS.
Para las sesiones 802.11, el atributo RADIUS Calling-Station-ID [31] (la
dirección MAC del cliente) debe indicarse en la solicitud PoD. El punto de
acceso o WDS intentará desasociar la sesión en cuestión y después devolverá un
mensaje de respuesta de desconexión al servidor RADIUS. A continuación se
indican los tipos de mensaje:
• 40 – Disconnect-Request
• 41 – Disconnect – ACK
• 42 – Disconnect – NAK
• Consulte la documentación de su aplicación de servidor RADIUS si desea
SUGERENCIA
obtener instrucciones sobre cómo configurar solicitudes de PoD.
• El punto de acceso no bloqueará los intentos de reasociación del cliente
posteriores. Será responsabilidad del administrador de seguridad
inhabilitar la cuenta del cliente antes de emitir una solicitud de PoD.
• Si el dispositivo WDS está configurado, dirija las solicitudes de PoD a este.
El WDS transmitirá la solicitud de desasociación al punto de acceso
principal y después purgará la sesión de sus propias tablas internas.
• El PoD es compatible con el servidor RADIUS Cisco CNS Access Registrar
(CAR), pero no con el servidor Cisco Secure ACS, v4.0 y anteriores.
En el modo EXEC con privilegios, siga estos pasos para configurar un PoD.
1. Obtenga acceso al modo de configuración global.
configure terminal
2. Habilita las sesiones de usuario que deben desconectarse mediante
solicitudes procedentes de un servidor RADIUS cuando se presentan
atributos de sesión concretos.
Publicación de Rockwell Automation 1783-UM006B-ES-P – Enero 2015
method1.