Використання RADIUS для обмеження SSID на Cisco Aironet

10

Я хотів би використовувати свій сервер RADIUS для обмеження доступу до налаштованого SSID на основі кожного користувача .

Відповідно до вищезазначеної документації, я додаю такий атрибут для тестового користувача:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Отже, включивши автентифікацію радіуса налагодження , я бачу:

12 червня 08: 30: 08.266: RADIUS (00001A96): надіслати запит на доступ до 212.183.164.38:1812 id 1645/128, len 177
12 червня 08: 30: 08,266: RADIUS: автентифікатор CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 червня 08: 30: 08,267: RADIUS: Ім'я користувача [1] 12 "ospite-5vh"
12 червня 08: 30: 08,267: RADIUS: Framed-MTU [12] 6 1400                      
12 червня 08: 30: 08,267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 червня 08: 30: 08.267: RADIUS: Call-Station-Id [31] 16 "2064.3267.44ca"
12 червня 08: 30: 08,267: RADIUS: Постачальник, Cisco [26] 29  
12 червня 08: 30: 08,267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 червня 08: 30: 08,267: RADIUS: Тип сервісу [6] 6 Вхід [1]
12 червня 08: 30: 08,267: RADIUS: Повідомлення-автентикато [80] 18  
12 червня 08: 30: 08,267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 червня 08: 30: 08,267: RADIUS: повідомлення EAP [79] 17  
12 червня 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 червня 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 бездротовий зв'язок [19]
12 червня 08: 30: 08,267: RADIUS: NAS-Port [5] 6 7037                      
12 червня 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 червня 08: 30: 08.268: RADIUS: NAS-IP-адреса [4] 6 10.132.0.253              
12 червня 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 червня 08: 30: 08.325: RADIUS: отримано від id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 червня 08: 30: 08.325: RADIUS: автентифікатор 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 червня 08: 30: 08.325: RADIUS: Постачальник, Cisco [26] 31  
12 червня 08: 30: 08,325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 червня 08: 30: 08.325: RADIUS: EAP-повідомлення [79] 8   
12 червня 08: 30: 08.325: РАДІУС: 01 02 00 06 19 20 [????? ]
12 червня 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
12 червня 08: 30: 08,325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V? ??.]
12 червня 08: 30: 08.326: РАДІУС: Держава [24] 18  
12 червня 08: 30: 08,326: РАДІУС: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 червня 08: 30: 08.326: RADIUS (00001A96): отримано від id 1645/128

Тож я б очікував відхилення запиту, оскільки "Асоціація SSID" не відповідає RADIUS, замість цього вона визнається і користувач підключається.

Відповідні конфігурації наступні:

aaa радиус входу в систему за замовчуванням групи
aaa вхід у систему автентифікації eap_methods групи радіус
aaa мережа авторизації за замовчуванням при наявності автентифікації 
ааа облік вкладений
періодичне оновлення бухгалтерського обліку 5
aaa мережа обліку eap_methods радіус групи старт-стоп
!
dot11 ssid Інтерактивний
   vlan 1
   аутентифікація відкрита 
   аутентифікація керування ключами wpa
   mbssid гостьовий режим
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   аутентифікація відкрита 
   аутентифікація керування ключами wpa
   mbssid гостьовий режим
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   аутентифікація відкритих eap eap_methods 
   аутентифікація мережі-eap eap_methods 
   автентифікація керування ключами wpa версія 2
   облік eap_methods
   mbssid гостьовий режим
!
інтерфейс Dot11Radio0
 немає IP-адреси
 немає ip route-cache
 шифрування vlan 4 режими шифрів aes-ccm tkip 
 шифрування vlan 1 в шифрах режиму aes-ccm tkip 
 шифрування vlan 5 режиму шифрів aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 посилення антени 0
 mbssid
 немає короткого часу
 швидкість основна-1,0 базова-2,0 базова-5,5 базова-11,0
 канал 2457
 корінь станції-ролі
!
інтерфейс Dot11Radio0.1
 Опис LAN Interactive
 інкапсуляція dot1Q 1 нативна
 немає ip route-cache
 мостова група 1
 міст-група 1 абонент-цикл управління
 Блок 1 мосту, блок невідомо-джерело
 немає джерелознавства мостової групи 1
 немає мостової групи 1 одноосібного затоплення
 міст-група 1, що охоплює, відключений
!
інтерфейс Dot11Radio0.4
 опис локальної мережі Ospiti
 інкапсуляція точка1Q 4
 немає ip route-cache
 мостова група 4
 міст-група 4 абонент-цикл управління
 блок-місток 4 блок-невідомо-джерело
 немає мостової групи 4 джерело-навчання
 немає мостової групи 4 одноадресних затоплень
 міст-група 4, що охоплює-відключений
!
інтерфейс Dot11Radio0.5
 Опис LAN Тест
 інкапсуляція точка1Q 5
 немає ip route-cache
 мостова група 5
 міст-група 5 абонент-цикл управління
 блок-місток 5 блок-невідомо-джерело
 немає джерелознавства мостової групи 5
 немає мостової групи 5 одноадресних затоплень
 міст-група 5, що охоплює, інваліди
!
атрибут radius-сервер 32 включає формат-in-access-req% h
атрибут radius-server 4 10.132.0.253
радіус-сервер хост 10.132.0.99 auth-порт 1812 acct-порт 1813 нестандартний ключ 7 131312061E3811242A142A7C79
радіус-сервер вся надсилає бухгалтерію
radius-сервер vsa надсилає автентифікацію

І ось результат # show versione

Програмне забезпечення Cisco IOS, Програмне забезпечення C1040 (C1140-K9W7-M), версія 12.4 (25d) JA1, ПЗАКУМЕНТНА ПРОГРАМА (fc1)
Технічна підтримка: http://www.cisco.com/techsupport
Авторські права (c) 1986-2011 від Cisco Systems, Inc.
Складено Чт 11, серпня, 11:58, автор: prod_rel_team

ПЗУ: Програма Bootstrap - це завантажувач C1040
BOOTLDR: завантажувач завантажувача C1040 (C1140-BOOT-M) версія 12.4 (23c) JA3, ПІДВИЩИТИ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ (fc1)

Час роботи UFFICIO-AP1 становить 8 тижнів, 2 дні, 8 годин, 27 хвилин
Система повернулася в ПЗУ при включенні
Система перезапущена о 22:39:10 UTC вівторок 16 квітня 2013 року
Файл системного зображення "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Хтось може допомогти?

cisco  wireless  aironet  radius 
Марко Марзетті
джерело
2
Використовуєте ACS чи інший сервер RADIUS?
Дейв Нунан
Я використовую FreeRADIUS з MySQL
бекендом
@MarcoMarzetti, ви можете додати non-standardдо radius-server hostрядка і повідомити мені, чи це змінить отримані вами результати? Можливо, вам доведеться поставити key 7заяву самостійно на іншій лінії, щоб це працювало.
Майк Пеннінгтон
@MikePennington зробив, але нічого не змінилося. До речі я отримав цю помилку , коли я змінив значення «SSID = Interactive_Ospiti»: parse unknown cisco vsa "SSID" - IGNORE. Тож IOS розуміє атрибут та намагається його розібрати.
Марко Марзетті
Для чого ваш конфігурація interface Dot11Radio?
generalnetworkerror

Відповіді:

1

Спробуйте змінити оператора в конфігурації freeradius на "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

Сантіно
джерело
не думаю, що це може допомогти, оскільки "= ~" призначений для порівняння, і я хочу отримати завдання. Зауважте, що перевірку SSID повинен здійснювати IOS, а не FreeRADIUS.
Марко Марзетті
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.