Użycie RADIUS do ograniczenia SSID w Cisco Aironet


10

Chciałbym użyć mojego serwera RADIUS do ograniczenia dostępu do skonfigurowanego identyfikatora SSID dla poszczególnych użytkowników .

Zgodnie z powyższą dokumentacją dodam do testowanego użytkownika następujący atrybut:

osatis-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Tak więc, włączając uwierzytelnianie w promieniu debugowania , widzę:

12 czerwca 08: 30: 08.266: RADIUS (00001A96): Wyślij żądanie dostępu do 212.183.164.38:1812 id 1645/128, len 177
12 czerwca 08: 30: 08.266: RADIUS: moduł uwierzytelniający CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 czerwca 08: 30: 08.267: RADIUS: Nazwa użytkownika [1] 12 „os.-5vh”
12 czerwca 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400                      
12 czerwca 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 czerwca 08: 30: 08.267: RADIUS: ID stacji wywoławczej [31] 16 "2064.3267.44ca"
12 czerwca 08: 30: 08.267: RADIUS: Vendor, Cisco [26] 29  
12 czerwca 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 czerwca 08: 30: 08.267: RADIUS: Service-Type [6] 6 Zaloguj się [1]
12 czerwca 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
12 czerwca 08: 30: 08.267: PROMIEŃ: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 czerwca 08: 30: 08.267: RADIUS: Wiadomość EAP [79] 17  
12 czerwca 08: 30: 08.267: PROMIEŃ: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? osEXE-5vh]
12 czerwca 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 bezprzewodowa [19]
12 czerwca 08: 30: 08.267: RADIUS: Port NAS [5] 6 7037                      
12 czerwca 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 czerwca 08: 30: 08.268: RADIUS: Adres IP NAS [4] 6 10.132.0.253              
12 czerwca 08: 30: 08.268: RADIUS: Identyfikator Nas [32] 13 „UFFICIO-AP1”
12 czerwca 08: 30: 08.325: RADIUS: Otrzymano z ID 1645/128 212.183.164.38:1812, Access-Challenge, Len 95
12 czerwca 08: 30: 08.325: RADIUS: urządzenie uwierzytelniające 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 czerwca 08: 30: 08.325: RADIUS: Vendor, Cisco [26] 31  
12 czerwca 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 czerwca 08: 30: 08.325: RADIUS: Wiadomość EAP [79] 8   
12 czerwca 08: 30: 08.325: PROMIEŃ: 01 02 00 06 19 20 [????? ]
12 czerwca 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
12 czerwca 08: 30: 08.325: PROMIEŃ: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 czerwca 08: 30: 08.326: RADIUS: Stan [24] 18  
12 czerwca 08: 30: 08.326: PROMIEŃ: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 czerwca 08: 30: 08.326: RADIUS (00001A96): Otrzymano z identyfikatora 1645/128

Oczekiwałbym więc, że żądanie zostanie odrzucone, ponieważ „identyfikator SSID skojarzenia” nie zgadza się z identyfikatorem RADIUS, lecz zostaje potwierdzony i użytkownik zostaje połączony.

Odpowiednie konfiguracje są następujące:

aaa domyślny promień grupy uwierzytelniania logowania
aaa login uwierzytelnienia eap_methods promień grupy
aaa domyślna sieć autoryzacyjna, jeśli jest uwierzytelniona 
księgowość zagnieżdżona
aaa okresowa aktualizacja rachunkowości 5
aaa sieć księgowa eap_methods promień grupy start-stop
!
dot11 ssid Interactive
   vlan 1
   uwierzytelnianie otwarte 
   zarządzanie kluczami uwierzytelniającymi wpa
   Tryb gościa mbssid
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   uwierzytelnianie otwarte 
   zarządzanie kluczami uwierzytelniającymi wpa
   Tryb gościa mbssid
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   uwierzytelnianie open eap eap_methods 
   uwierzytelnianie network-eap eap_methods 
   zarządzanie kluczami uwierzytelniającymi WPA wersja 2
   rachunkowość eap_methods
   Tryb gościa mbssid
!
interfejs Dot11Radio0
 brak adresu IP
 brak ip-cache-route
 szyfrowanie vlan 4 tryb szyfruje aes-ccm tkip 
 szyfrowanie vlan 1 tryb szyfruje aes-ccm tkip 
 szyfrowanie vlan 5 tryb szyfruje aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 zysk anteny 0
 mbssid
 brak krótkiego czasu na start lub lądowanie
 prędkość podstawowa-1,0 podstawowa-2,0 podstawowa-5,5 podstawowa-11,0
 kanał 2457
 root-role root
!
interfejs Dot11Radio0.1
 opis LAN Interactive
 enkapsulacja natywna dot1Q 1
 brak ip-cache-route
 grupa mostów 1
 most-grupa 1 kontrola pętli abonenckiej
 most-grupa 1 blok-nieznane-źródło
 brak uczenia się od źródła w grupie pomostowej 1
 bez powodzi unicast grupy 1
 most-grupa 1 obejmujący wyłączony
!
interfejs Dot11Radio0.4
 opis LAN Ospiti
 kapsułkowanie dot1Q 4
 brak ip-cache-route
 grupa mostów 4
 most-grupa 4 kontrola pętli abonenckiej
 bridge-group 4 block-unknown-source
 brak uczenia się przez źródło 4 grupy pomostowej
 brak powodzi unicast grupy 4
 grupa mostów 4 przęsła wyłączone
!
interfejs Dot11Radio0.5
 opis Test LAN
 kapsułkowanie dot1Q 5
 brak ip-cache-route
 grupa mostów 5
 most-grupa 5 kontrola pętli abonenckiej
 grupa mostów 5 blok-nieznane-źródło
 brak uczenia się przez źródła grupy pomostowej 5
 brak powodzi unicast grupy 5
 grupa mostów 5 obejmująca-wyłączona
!
Atrybut radius-server 32 format włączenia-dostępu-żądania% h
atrybut radius-serwer 4 10.132.0.253
radius-server host 10.132.0.99 auth-port 1812 acct-port 1813 niestandardowy klucz 7 131312061E3811242A142A7C79
radius-server vsa wyślij księgowanie
uwierzytelnianie radius-server vsa send

A oto wyniki # show versione

Oprogramowanie Cisco IOS, oprogramowanie C1040 (C1140-K9W7-M), wersja 12.4 (25d) JA1, RELEASE SOFTWARE (fc1)
Pomoc techniczna: http://www.cisco.com/techsupport
Prawa autorskie (c) 1986-2011 Cisco Systems, Inc.
Opracowano czw 11-sie-11 02:58 przez prod_rel_team

ROM: Program ładujący to moduł ładujący C1040
BOOTLDR: Moduł ładujący C1040 (C1140-BOOT-M) Wersja 12.4 (23c) JA3, OPROGRAMOWANIE ZWOLNIENIA (fc1)

Czas pracy UFFICIO-AP1 wynosi 8 tygodni, 2 dni, 8 godzin, 27 minut
System powrócił do ROM po włączeniu
System zrestartowano o 22:39:10 UTC wt 16 kwietnia 2013
Plik obrazu systemu to „flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1”

Czy ktoś może pomóc?


2
Czy używasz ACS lub innego serwera RADIUS?
Dave Noonan

Używam FreeRADIUS z backendem MySQL
Marco Marzetti

@MarcoMarzetti, czy możesz dodać non-standarddo radius-server hostlinii i dać mi znać, jeśli to zmieni wyniki, które otrzymujesz? Może być konieczne umieszczenie key 7instrukcji w innym wierszu, aby to zadziałało.
Mike Pennington,

@MikePennington zrobione, ale nic się nie zmieniło. BTW mam ten błąd, gdy zmieniłem wartość na „SSID = Interactive_Ospiti”: parse unknown cisco vsa "SSID" - IGNORE. IOS rozumie ten atrybut i próbuje go przeanalizować.
Marco Marzetti,

Jaka jest twoja konfiguracja interface Dot11Radio?
generalnetworkerror

Odpowiedzi:


1

Spróbuj zmienić operatora w konfiguracji freeradius na „= ~”:

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


nie myśl, że to może pomóc, ponieważ „= ~” służy do porównań i chcę przydzielić zadanie. Pamiętaj, że sprawdzanie SSID powinno być wykonywane przez IOS, a nie przez FreeRADIUS.
Marco Marzetti
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.