- FreeRADIUS, daloRADIUS, SQL,
 NAT41, 08:11 , 25-Фев-15 (1)> Добрый день. Поставлена задача настроить MAC Authentication Bypass на коммутаторах cisco.
> Настроены FreeRADIUS, daloRADIUS, SQL. При подключении проходит аутентификация, аккаунтинг виден в веб-морде daloRADIUS, но пользователь не попадает в нужный вилан. На daloradius настроен профиль MAB3 с атрибутами Tunnel-Type := VLAN
> Tunnel-Private-Group-Id :=3
> Tunnel-Medium-Type := IEEE-802
> Auth-Type := Accept
> Пользователь создан MAC Address Authentication (0022644f9063)и добавлен в группу.
> Подскажите, почему назначается Vlan default 1, а не указанный?
> #show auth int fa 0/4 Client list:
Interface MAC Address Method Domain Status Session ID
Fa0/4 0022.644f.9063 mab DATA Authz Success 0A0007450000006F6FF917A4 Available methods list:
Handle Priority Name
2 1 mab
Runnable methods list:
Handle Priority Name
2 1 mab #show mac add int fa 0/4
Mac Address Table
------------------------------------------- Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0022.644f.9063 STATIC Fa0/4
Total Mac Addresses for this criterion: 1
>[оверквотинг удален]
> в базе есть...
> mysql> select * from radcheck;
> +----+--------------+-----------+----+--------+
> | id | username | attribute | op
> | value |
> +----+--------------+-----------+----+--------+
> |
> | 20 | 0022644f9063 | Auth-Type | := | Accept |
> +----+--------------+-----------+----+--------+
> 2 rows in set (0.00 sec) Что-то в ответ тишина... Может помогут поправки и уточнения...
Дело в том, если заводить юзера в *raddb/users все работает отлично, но планируется большая база пользователей и устройств и этот способ не подходит.
- FreeRADIUS, daloRADIUS, SQL, ShyLion, 08:31 , 25-Фев-15 (2)
radiusd -Xсравни тупо ответы
скорее всего не хватает какого-то атрибута в ответе
- FreeRADIUS, daloRADIUS, SQL, NAT41, 08:41 , 25-Фев-15 (3)
> radiusd -X
> сравни тупо ответы
> скорее всего не хватает какого-то атрибута в ответе Сравнивала, в логах различие только этим
это лог с удачной авторизацией ( юзер создан в raddb/users) rlm_sql (sql): Reserving sql socket id: 1
rlm_sql (sql): Released sql socket id: 1
++[sql] returns ok
++[exec] returns noop
Sending Access-Accept of id 198 to 10.0.7.69 port 1645
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 1.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Accounting-Request packet from host 10.0.7.69 port 1646, id=13, length=141 лог с неудачной авторизацией (юзер заведен через веб-морду) rlm_sql (sql): Reserving sql socket id: 4
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
++[exec] returns noop
Sending Access-Accept of id 223 to 10.0.7.69 port 1645
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Accounting-Request packet from host 10.0.7.69 port 1646, id=51, length=141 все остальное в логах одинаково.
Понятно, что параметры из базы не переданы, но почему? Чего-то не хватает, какие атрибуты можно еще попробовать?
- FreeRADIUS, daloRADIUS, SQL, ShyLion, 08:46 , 25-Фев-15 (4)
> какие атрибуты можно еще попробовать?Не нужно "пробовать" "другие" атрибуты. Нужно добиться чтобы радиус отдавал именно эти, циска тут непричем. Тестировать можно прям с консоли сервера авторизации.
Скорее всего что-то недокрутили в базе. select * from radreply;
- FreeRADIUS, daloRADIUS, SQL, ShyLion, 08:48 , 25-Фев-15 (5)
- FreeRADIUS, daloRADIUS, SQL, NAT41, 15:05 , 25-Фев-15 (6)
> Тут все очень доступно расписано:
> http://wiki.freeradius.org/guide/SQL-HOWTO Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала)) Я на юзера (группу) накатывла только Check Attributes, а надо было еще и Reply Attributes добавить.
ShyLion, спасибо большое!!!!
- FreeRADIUS, daloRADIUS, SQL, ShyLion, 15:14 , 25-Фев-15 (7)
>> Тут все очень доступно расписано:
>> http://wiki.freeradius.org/guide/SQL-HOWTO
> Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала))
> Я на юзера (группу) накатывла только Check Attributes, а надо было
> еще и Reply Attributes добавить.
> ShyLion, спасибо большое!!!!Пожалста
- FreeRADIUS, daloRADIUS, SQL, NAT41, 14:18 , 04-Мрт-15 (8)
>> Тут все очень доступно расписано:
>> http://wiki.freeradius.org/guide/SQL-HOWTO
> Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала))
> Я на юзера (группу) накатывла только Check Attributes, а надо было
> еще и Reply Attributes добавить.
> ShyLion, спасибо большое!!!!И снова, здравствуйте. Новая проблема. Компы по MAB работают отлично! Но остались IP телефоны...
Логинятся, SIP работает, но телефон не пингуются, соответственно и подключенный к нему комп в сеть не ходит.. Коммутатор: interface GigabitEthernet5/23
description 609-02
switchport mode access
switchport voice vlan 134
speed 100
duplex full
authentication host-mode multi-domain
authentication port-control auto
mab
spanning-tree portfast #show authentication int gi 5/23
Gi5/23 0008.5d33.405c mab VOICE Authz Success 0A00070D00000108E7DC2586
Daloradius - атрибуты профиля Voice (check-reply)
Cisco-AVPair := device-traffic-class=voice
Auth-Type:=Accept
Tunnel-Type:=VLAN
Tunnel-Medium-Type:=IEEE-802
Tunnel-Private-Group-Id:=134 Лог радиуса Wed Mar 4 14:54:39 2015 : Auth: Login OK: [00085d33405c] (from client 10.0.x.xx port 50523 cli 00-08-5D-33-40-5C) Телефон AStra 6755i. Поддержка 802.1x есть. Дело в настройках телефона?
- FreeRADIUS, daloRADIUS, SQL, ShyLion, 07:26 , 05-Мрт-15 (9)
Для MAB наличие 802.1x по боку по моему.
- FreeRADIUS, daloRADIUS, SQL, NAT41, 15:39 , 05-Мрт-15 (10)
> Для MAB наличие 802.1x по боку по моему.Телефон работает, пингуется, а вот ноут, подключенный к нему - ну никак!
Причем IP получает по dhcp и никого кроме себя не видит... #show authentication int gi5/23 Client list:
Interface MAC Address Method Domain Status Session ID
Gi5/23 0022.644f.9063 mab DATA Authz Success 0A00070D00000193EE6EEFD9
Gi5/23 0008.5d33.405c mab VOICE Authz Success 0A00070D00000194EE6F44FD В логах про ошибки не пишет ничего. Для подключения компа через телефон нужны какие-нибудь еще атрибуты?
|
Версия для распечатки
FreeRADIUS, daloRADIUS, SQL, 
