Добрый день!
Подскажите как настроить авторизацию на radius сервере для клиентов, не поддерживающих 802.1x.
Используется сервер от microsoft. В нем настраиваем пользователя, например для телефона, и даем ему имя и пароль в виде mac адреса телефона. Ставим метод проверки открытым текстом PAP. На коммутаторе настроено
dot1x system-auth-control
aaa authentication dot1x default radius
radius-server host 192.168.1.1
radius-server key qwerty
interface gigabitethernet1/0/2
dot1x guest-vlan enable
dot1x reauthentication
dot1x mac-authentication mac-and-802.1x
dot1x radius-attribute vlan
dot1x port-control auto
dot1x host-mode multi-sessions
На radius сервере регистрируем обращение на авторизацию от клиента с именем 0015651d6e12, что соответствует пользователю в домене. Но клиент не проходит авторизацию по причине, что указанный пользователь не соответствует пользователю в домене или указан не верный пароль.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Авторизация по mac
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
Вопрос каким методом eltex передает mac адрес на radius server и что в соответствие его методам нужно настроить на радиус сервере?
Re: Авторизация по mac
Добрый день.
Пример настройки mac авторизации:
Пример настройки mac авторизации:
no spa
vlan database
vlan 100,200
exit
dot1x system-auth-control
!
aaa authentication dot1x default radius none
radius-server host 192.168.1.10 encrypted key da90833f59be
!
interface gigabitethernet 1/0/17
switchport access vlan 100
exit
!
interface gigabitethernet 1/0/7
switchport access vlan 100
dot1x guest-vlan enable
dot1x reauthentication
dot1x timeout reauth-period 300
dot1x mac-authentication mac-only
dot1x port-control auto
spanning-tree portfast
exit
!
interface vlan 100
ip address 192.168.1.20 255.255.255.0
exit
!
interface vlan 200
dot1x guest-vlan
exit
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Авторизация по mac
Но клиент не проходит авторизацию по причине, что указанный пользователь не соответствует пользователю в домене или указан не верный пароль.
mac адрес клиента записан в качестве логина и пароля на сервере? В каком регистре записан mac? В нижнем или верхнем? (т.е. заглавные или маленькие буквы)
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
в нижнем регистре
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
В AD создали пользователя, у которого логин и пароль соответствуют mac адресу устройства
Re: Авторизация по mac
Написаний маков множество, может кинете сюда пример как в AD?
Re: Авторизация по mac
Вопрос каким методом eltex передает mac адрес на radius server и что в соответствие его методам нужно настроить на радиус сервере?
Вот пример конфигурации радиус сервера freeradius для прохождения клиентом мак авторизации и назначения на клиентский порт влан с помощью радиус атрибутов.
c46e1f01a9fb Cleartext-Password := "c46e1f01a9fb", Auth-Type = Local, NAS-PORT == 56
Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802",
Tunnel-Private-Group-Id = "100"
Попробуйте такой тип аутентификации. Или вообще не указывать тип.
Также какие параметры указаны в конфигурации вашего сервера?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
ewcha писал(а):Написаний маков множество, может кинете сюда пример как в AD?
С коммутатора передается без разделителей, соответственно в AD есть пользователь с именем и паролем 0015651d6e12
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
freeradius пока не пробовали.
Используется сервер NPS от microsoft. В политике сети указываем проверку открытым текстом PAP и в условии политики устанавливаем группу, в которой находится пользователь 0015651d6e12. Wireshark'ом регистрируем что коммутатор посылает имя в открытом виде, а пароль он шифрует.
Скорее по этому он и не может определить пароль.
Касательно cisco такаяже проблема, но есть решение в виде:
"Команда mab обязательна, т.к. без нее коммутатор посылает пакеты используя EAP-MD5 аутентификацию, но MS NPS не принимает данный режим, поэтому нужно использовать PAP."
Есть ли какие-нибудь еще пояснения по данной проблеме?
Используется сервер NPS от microsoft. В политике сети указываем проверку открытым текстом PAP и в условии политики устанавливаем группу, в которой находится пользователь 0015651d6e12. Wireshark'ом регистрируем что коммутатор посылает имя в открытом виде, а пароль он шифрует.
Скорее по этому он и не может определить пароль.
Касательно cisco такаяже проблема, но есть решение в виде:
"Команда mab обязательна, т.к. без нее коммутатор посылает пакеты используя EAP-MD5 аутентификацию, но MS NPS не принимает данный режим, поэтому нужно использовать PAP."
Есть ли какие-нибудь еще пояснения по данной проблеме?
Re: Авторизация по mac
Выше я уже писал рекомендации:
В настройках сервера еще какие-то параметры укзаываются? Может быть клиентский порт?
Auth-Type = Local
Попробуйте такой тип аутентификации. Или вообще не указывать тип.
В настройках сервера еще какие-то параметры укзаываются? Может быть клиентский порт?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
-
aleksandr__k
- Сообщения: 43
- Зарегистрирован: 16 ноя 2015 23:56
- Reputation: 0
- Откуда: Санкт-Петербург
Re: Авторизация по mac
Выше вы писали рекомендацию для freeradius, я же в свою очередь задавал другой вопрос.
Re: Авторизация по mac
я же в свою очередь задавал другой вопрос.
Повторите вопрос.
И ответьте на заданные мной вопросы.
Используется сервер NPS от microsoft. В политике сети указываем проверку открытым текстом PAP и в условии политики устанавливаем группу, в которой находится пользователь 0015651d6e12.
Какие варианты кроме PAP имеются?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя