О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
mes1124m и протоколы аутентификации radius
mes1124m и протоколы аутентификации radius
Настроил авторизацию пользователей через radius сервер, работает, но mes1124m присылает аутентификационные данные на сервер в открытом виде. чистый PAP. Не секурно. По идее должна быть возможность указывать по какому протоколу осуществлять аутентификацию - pap, chap, ms chap, ms chap v2 и т.д. Хоть что-нибудь. Есть ли на данной линейке коммутаторов поддержка chap или ms chap v2? Если есть, подскажите, пожалуйста, как сказать коммутатору, чтобы он использовал именно его? В руководстве по эксплуатации нужной информации не нашёл. Либо её там нет, либо упустил.
Re: mes1124m и протоколы аутентификации radius
Добрый день
Приложите конфигурацию коммутатора.
но mes1124m присылает аутентификационные данные на сервер в открытом виде
Приложите конфигурацию коммутатора.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: mes1124m и протоколы аутентификации radius
mes1124m-E10-3#sh run
vlan database
vlan 60,100,110
exit
!
hostname mes1124m-E10-3
!
aaa authentication enable default enable
aaa authentication login default radius local
enable password level 15 encrypted 58291cd8194c6bdf2d6bb3bbf879b9c7218b81d0
username username password encrypted 559b9899f666c241d361d0c1df64a2a0d52f67d5 privilege 15
username username password encrypted 7c61c50b7634208ed15723809dd1737c1765974e privilege 15
username username password encrypted 52befeaa090b422493b3fd0819767345f67be01e privilege 15
radius-server host 192.168.254.101
radius-server encrypted key eebed77a69b9fa5b729fd848
radius-server retransmit 2
radius-server timeout 10
!
line telnet
password fe66768ca3066ce3c93d06cd921fb9aec5c7aeef encrypted
exit
!
ip ssh server
!
clock timezone URAL +5
clock source sntp
sntp client poll timer 60
sntp unicast client enable
sntp unicast client poll
sntp server 192.168.254.103
!
interface fastethernet 1/0/1
switchport access vlan 60
exit
!
interface fastethernet 1/0/2
switchport access vlan 60
exit
!
interface fastethernet 1/0/3
switchport access vlan 110
exit
!
interface fastethernet 1/0/4
switchport access vlan 110
exit
!
interface fastethernet 1/0/5
switchport access vlan 110
exit
!
interface fastethernet 1/0/6
switchport access vlan 110
exit
!
interface fastethernet 1/0/7
switchport access vlan 110
exit
!
interface fastethernet 1/0/8
switchport access vlan 110
exit
!
interface fastethernet 1/0/9
switchport access vlan 110
exit
!
interface fastethernet 1/0/10
switchport access vlan 110
exit
!
interface fastethernet 1/0/11
switchport access vlan 110
exit
!
interface fastethernet 1/0/12
switchport access vlan 110
exit
!
interface fastethernet 1/0/13
switchport access vlan 110
exit
!
interface fastethernet 1/0/14
switchport access vlan 110
exit
!
interface fastethernet 1/0/15
switchport access vlan 110
exit
!
interface fastethernet 1/0/16
switchport access vlan 110
exit
!
interface fastethernet 1/0/17
switchport access vlan 110
exit
!
interface fastethernet 1/0/18
switchport access vlan 110
exit
!
interface fastethernet 1/0/19
switchport access vlan 110
exit
!
interface fastethernet 1/0/20
switchport access vlan 110
exit
!
interface fastethernet 1/0/21
switchport access vlan 110
exit
!
interface fastethernet 1/0/22
switchport access vlan 110
exit
!
interface fastethernet 1/0/23
switchport access vlan 110
exit
!
interface fastethernet 1/0/24
switchport access vlan 110
exit
!
interface gigabitethernet 1/0/1
switchport access vlan 100
exit
!
interface gigabitethernet 1/0/3
switchport mode trunk
switchport trunk allowed vlan add 60,100,110
description uplink
exit
!
interface gigabitethernet 1/0/4
switchport mode trunk
switchport trunk allowed vlan add 60,100,110
description uplink
exit
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 60
name med-tec
exit
!
interface vlan 100
name vlan-100-mgmt
ip address 172.30.108.5 255.255.255.192
exit
!
interface vlan 110
name vlan-110-E10-net
exit
!
ip default-gateway 172.30.108.1
!
vlan database
vlan 60,100,110
exit
!
hostname mes1124m-E10-3
!
aaa authentication enable default enable
aaa authentication login default radius local
enable password level 15 encrypted 58291cd8194c6bdf2d6bb3bbf879b9c7218b81d0
username username password encrypted 559b9899f666c241d361d0c1df64a2a0d52f67d5 privilege 15
username username password encrypted 7c61c50b7634208ed15723809dd1737c1765974e privilege 15
username username password encrypted 52befeaa090b422493b3fd0819767345f67be01e privilege 15
radius-server host 192.168.254.101
radius-server encrypted key eebed77a69b9fa5b729fd848
radius-server retransmit 2
radius-server timeout 10
!
line telnet
password fe66768ca3066ce3c93d06cd921fb9aec5c7aeef encrypted
exit
!
ip ssh server
!
clock timezone URAL +5
clock source sntp
sntp client poll timer 60
sntp unicast client enable
sntp unicast client poll
sntp server 192.168.254.103
!
interface fastethernet 1/0/1
switchport access vlan 60
exit
!
interface fastethernet 1/0/2
switchport access vlan 60
exit
!
interface fastethernet 1/0/3
switchport access vlan 110
exit
!
interface fastethernet 1/0/4
switchport access vlan 110
exit
!
interface fastethernet 1/0/5
switchport access vlan 110
exit
!
interface fastethernet 1/0/6
switchport access vlan 110
exit
!
interface fastethernet 1/0/7
switchport access vlan 110
exit
!
interface fastethernet 1/0/8
switchport access vlan 110
exit
!
interface fastethernet 1/0/9
switchport access vlan 110
exit
!
interface fastethernet 1/0/10
switchport access vlan 110
exit
!
interface fastethernet 1/0/11
switchport access vlan 110
exit
!
interface fastethernet 1/0/12
switchport access vlan 110
exit
!
interface fastethernet 1/0/13
switchport access vlan 110
exit
!
interface fastethernet 1/0/14
switchport access vlan 110
exit
!
interface fastethernet 1/0/15
switchport access vlan 110
exit
!
interface fastethernet 1/0/16
switchport access vlan 110
exit
!
interface fastethernet 1/0/17
switchport access vlan 110
exit
!
interface fastethernet 1/0/18
switchport access vlan 110
exit
!
interface fastethernet 1/0/19
switchport access vlan 110
exit
!
interface fastethernet 1/0/20
switchport access vlan 110
exit
!
interface fastethernet 1/0/21
switchport access vlan 110
exit
!
interface fastethernet 1/0/22
switchport access vlan 110
exit
!
interface fastethernet 1/0/23
switchport access vlan 110
exit
!
interface fastethernet 1/0/24
switchport access vlan 110
exit
!
interface gigabitethernet 1/0/1
switchport access vlan 100
exit
!
interface gigabitethernet 1/0/3
switchport mode trunk
switchport trunk allowed vlan add 60,100,110
description uplink
exit
!
interface gigabitethernet 1/0/4
switchport mode trunk
switchport trunk allowed vlan add 60,100,110
description uplink
exit
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 60
name med-tec
exit
!
interface vlan 100
name vlan-100-mgmt
ip address 172.30.108.5 255.255.255.192
exit
!
interface vlan 110
name vlan-110-E10-net
exit
!
ip default-gateway 172.30.108.1
!
Re: mes1124m и протоколы аутентификации radius
О каких аутентификационных данных в открытом виде идет речь? О User-Password? Там должен отсылаться md5 хэш пароля.
Пришлите на почту в моей подписи дамп пакетов с указанием поля, о котором идет речь.
Пришлите на почту в моей подписи дамп пакетов с указанием поля, о котором идет речь.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: mes1124m и протоколы аутентификации radius
Всё верно, речь идёт о передаче в открытом виде полей User-Name и User-Password
На данный момент могу предоставить полученный сервером freeradius ответ от коммутатора
Ready to process requests.
rad_recv: Access-Request packet from host 172.30.108.5 port 49181, id=7, length=84
User-Name = "test"
User-Password = "test"
Cisco-AVPair = "shell:priv-lvl=1"
NAS-IP-Address = 172.30.108.5
Acct-Session-Id = "0500303F"
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[files] = noop
++[sql] = ok
++[exec] = noop
+} # group post-auth = ok
Sending Access-Accept of id 7 to 172.30.108.5 port 49181
Finished request 1.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 7 with timestamp +746
Ready to process requests.
Если я задам на freeradius сервере пользователя с атрибутом, к примеру Auth-type := chap или Auth-type := mschapv2, то freeradius сервер выдаст мне ошибку о том, что получил от коммутатора некорректный ответ. Что, собственно, логично. Значит я каким-то образом должен указать на коммутаторе, в каком формате эти ответы отправлять, по какому протоколу аутентифицироваться.
На данный момент могу предоставить полученный сервером freeradius ответ от коммутатора
Ready to process requests.
rad_recv: Access-Request packet from host 172.30.108.5 port 49181, id=7, length=84
User-Name = "test"
User-Password = "test"
Cisco-AVPair = "shell:priv-lvl=1"
NAS-IP-Address = 172.30.108.5
Acct-Session-Id = "0500303F"
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[files] = noop
++[sql] = ok
++[exec] = noop
+} # group post-auth = ok
Sending Access-Accept of id 7 to 172.30.108.5 port 49181
Finished request 1.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 7 with timestamp +746
Ready to process requests.
Если я задам на freeradius сервере пользователя с атрибутом, к примеру Auth-type := chap или Auth-type := mschapv2, то freeradius сервер выдаст мне ошибку о том, что получил от коммутатора некорректный ответ. Что, собственно, логично. Значит я каким-то образом должен указать на коммутаторе, в каком формате эти ответы отправлять, по какому протоколу аутентифицироваться.
Re: mes1124m и протоколы аутентификации radius
В отладочной информации радиус сервера вы смотрите уже расшифрованный пароль. Снимите дамп вайршарком с интерфейса радиус сервера и вы увидите, что пароль приходит в зашифрованном виде.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: mes1124m и протоколы аутентификации radius
Действительно, пакет, перехваченный tcpdump не содержит пароля в явном виде. Спасибо за консультацию, Евгений, успокоили 
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя