Re: freeradius: user / mac-auth

2020-09-18 bef zés PÁSZTOR György 
Hi,

"SZABO Zsolt"  írta 2020-09-07 15:34-kor:
> A kérdésem, hogy használ-e vki freeradius-t úgy, hogy
> lehessen MAC címekkel egyéb auth nélkül hozzáférést kapni a LAN-hoz,
> de ha valaki pl. EAP+TTLS / PAP-pal authentikál, annak ne kelljen
> MAC címet regisztrálni.

Már nem, de úgy rémlik, mintha régebben konfiguráltam volna hasonlót, de
legalábbis láttam volna a catalyst-ek doksijában. Ha az akkori 2960-asok
tudták, akkor a mostaniaknak is kell.
Ami neked kell az a "mac auth bypass".
Amikor kiküldi a switch az eapol üzeneteket, adott timeout-ig ha nem jön
semmi válasz arra a porttól, akkor az első mac-cel, amit a porton hall,
a switch maga játsza el az authenticator szerepét.
Ha -X -el indítod a freeradius-t konzolon, az meg kilogol minden részletet
szépen.
Abból már ki lehet sakkozni, hogy milyen adatokat kell megadni a mac auth
bypass működéséhez. De úgy rémlik, hogy ezt mint ha a config guide is
leírná, csak ugye a sok részletben elveszik az ember, amikor olvassa ;-)
Na már most feltéve, hogy egyáltalán Cisco switched van a történetre.
Erről a részletről nem sokat árultál el.
Felteszem egyébként, ha Cisco tud ilyeneket, akkor Juniper is.
Soho játékosok esetén nem tudom van-e ilyesmi.

Üdv,
Gyu
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

freeradius: user / mac-auth

2020-09-07 bef zés SZABO Zsolt 

Sziasztok!
( Most látom, hogy ez a lista még létezik... XD )

A kérdésem, hogy használ-e vki freeradius-t úgy, hogy
lehessen MAC címekkel egyéb auth nélkül hozzáférést kapni a LAN-hoz,
de ha valaki pl. EAP+TTLS / PAP-pal authentikál, annak ne kelljen
MAC címet regisztrálni.

Ez alapján próbáltam elmenni és a a MAC *ÉS* user auth működik,
de a vagylagos nem... (pontosabban a user része igen, de a csak MAC-es 
nem):


https://wiki.freeradius.org/guide/Mac-Auth

Gondolom, a sites-enabled/default ezen része a gyanús:

authorize{
preprocess

# If cleaning up the Calling-Station-Id...
rewrite_calling_station_id

# If this is NOT 802.1x, assume mac-auth. We check this by testing
# for the presence of the EAP-Message attribute in the request.
if (!EAP-Message) {

# Now check against the authorized_macs file
authorized_macs

if (!ok) {
# No match was found
reject
}
else {
#   if (ok) .
# The MAC address was found, so update Auth-Type
# to accept this auth.
update control {
Auth-Type := Accept
}
}
}
else {
# Normal FreeRADIUS virtual server config contd.
[...]
}

Persze, az sem teljesen világos, hogy ha szimplán MAC szerint akarok 
hozzáférést adni, akkor a kliensben a wifi beállításokban mit kell 
megadni... Pl a telefonon csak EAP+(PEAP|TLS|TTLS && MSCHApv2|PAP|etc.)

jön fel, meg különböző azonosítók, ill. CA cert megadása.

TIA,
--
sz@zs
PS: mivel a rendszer használatban van, a probálgatási és debug 
lehetőségeim korlátozottak... :-)

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux