Re: freeradius: user / mac-auth
Hi, "SZABO Zsolt" írta 2020-09-07 15:34-kor: > A kérdésem, hogy használ-e vki freeradius-t úgy, hogy > lehessen MAC címekkel egyéb auth nélkül hozzáférést kapni a LAN-hoz, > de ha valaki pl. EAP+TTLS / PAP-pal authentikál, annak ne kelljen > MAC címet regisztrálni. Már nem, de úgy rémlik, mintha régebben konfiguráltam volna hasonlót, de legalábbis láttam volna a catalyst-ek doksijában. Ha az akkori 2960-asok tudták, akkor a mostaniaknak is kell. Ami neked kell az a "mac auth bypass". Amikor kiküldi a switch az eapol üzeneteket, adott timeout-ig ha nem jön semmi válasz arra a porttól, akkor az első mac-cel, amit a porton hall, a switch maga játsza el az authenticator szerepét. Ha -X -el indítod a freeradius-t konzolon, az meg kilogol minden részletet szépen. Abból már ki lehet sakkozni, hogy milyen adatokat kell megadni a mac auth bypass működéséhez. De úgy rémlik, hogy ezt mint ha a config guide is leírná, csak ugye a sok részletben elveszik az ember, amikor olvassa ;-) Na már most feltéve, hogy egyáltalán Cisco switched van a történetre. Erről a részletről nem sokat árultál el. Felteszem egyébként, ha Cisco tud ilyeneket, akkor Juniper is. Soho játékosok esetén nem tudom van-e ilyesmi. Üdv, Gyu _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
freeradius: user / mac-auth
Sziasztok! ( Most látom, hogy ez a lista még létezik... XD ) A kérdésem, hogy használ-e vki freeradius-t úgy, hogy lehessen MAC címekkel egyéb auth nélkül hozzáférést kapni a LAN-hoz, de ha valaki pl. EAP+TTLS / PAP-pal authentikál, annak ne kelljen MAC címet regisztrálni. Ez alapján próbáltam elmenni és a a MAC *ÉS* user auth működik, de a vagylagos nem... (pontosabban a user része igen, de a csak MAC-es nem): https://wiki.freeradius.org/guide/Mac-Auth Gondolom, a sites-enabled/default ezen része a gyanús: authorize{ preprocess # If cleaning up the Calling-Station-Id... rewrite_calling_station_id # If this is NOT 802.1x, assume mac-auth. We check this by testing # for the presence of the EAP-Message attribute in the request. if (!EAP-Message) { # Now check against the authorized_macs file authorized_macs if (!ok) { # No match was found reject } else { # if (ok) . # The MAC address was found, so update Auth-Type # to accept this auth. update control { Auth-Type := Accept } } } else { # Normal FreeRADIUS virtual server config contd. [...] } Persze, az sem teljesen világos, hogy ha szimplán MAC szerint akarok hozzáférést adni, akkor a kliensben a wifi beállításokban mit kell megadni... Pl a telefonon csak EAP+(PEAP|TLS|TTLS && MSCHApv2|PAP|etc.) jön fel, meg különböző azonosítók, ill. CA cert megadása. TIA, -- sz@zs PS: mivel a rendszer használatban van, a probálgatási és debug lehetőségeim korlátozottak... :-) _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux