Verwenden von RADIUS zum Einschränken der SSID auf Cisco Aironet

10

Ich möchte meinen RADIUS-Server verwenden, um den Zugriff auf die konfigurierte SSID pro Benutzer einzuschränken .

Gemäß der oben verlinkten Dokumentation füge ich einem Testbenutzer das folgende Attribut hinzu:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Wenn ich also die Authentifizierung mit Debugradius aktiviere , sehe ich:

12. Juni 08: 30: 08.266: RADIUS (00001A96): Zugriffsanforderung an 212.183.164.38:1812 ID 1645/128, Länge 177 senden
12. Juni 08: 30: 08.266: RADIUS: Authentifikator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12. Juni 08: 30: 08.267: RADIUS: Benutzername [1] 12 "ospite-5vh"
12. Juni 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400                      
12. Juni 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12. Juni 08: 30: 08.267: RADIUS: Calling-Station-ID [31] 16 "2064.3267.44ca"
12. Juni 08: 30: 08.267: RADIUS: Anbieter, Cisco [26] 29  
12. Juni 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12. Juni 08: 30: 08.267: RADIUS: Diensttyp [6] 6 Login [1]
12. Juni 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
12. Juni 08: 30: 08.267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12. Juni 08: 30: 08.267: RADIUS: EAP-Nachricht [79] 17  
12. Juni 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12. Juni 08: 30: 08.267: RADIUS: NAS-Port-Typ [61] 6 802.11 Wireless [19]
12. Juni 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037                      
12. Juni 08: 30: 08.268: RADIUS: NAS-Port-ID [87] 6 "7037"
12. Juni 08: 30: 08.268: RADIUS: NAS-IP-Adresse [4] 6 10.132.0.253              
12. Juni 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1"
12. Juni 08: 30: 08.325: RADIUS: Empfangen von ID 1645/128 212.183.164.38:1812, Access-Challenge, Len 95
12. Juni 08: 30: 08.325: RADIUS: Authentifikator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12. Juni 08: 30: 08.325: RADIUS: Anbieter, Cisco [26] 31  
12. Juni 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12. Juni 08: 30: 08.325: RADIUS: EAP-Nachricht [79] 8   
12. Juni 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ]]
12. Juni 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
12. Juni 08: 30: 08.325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12. Juni 08: 30: 08.326: RADIUS: Zustand [24] 18  
12. Juni 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12. Juni 08: 30: 08.326: RADIUS (00001A96): Empfangen von ID 1645/128

Ich würde also erwarten, dass die Anfrage abgelehnt wird, da die "Assoziations-SSID" nicht mit der RADIUS-SSID übereinstimmt, sondern bestätigt wird und der Benutzer eine Verbindung herstellt.

Relevante Konfigurationen folgen:

aaa Standardgruppenradius für die Authentifizierungsanmeldung
aaa Authentifizierungsanmeldung eap_methods Gruppenradius
aaa Standard des Autorisierungsnetzwerks, wenn authentifiziert 
aaa Buchhaltung verschachtelt
aaa regelmäßige Aktualisierung der Buchhaltung 5
aaa Abrechnungsnetzwerk eap_methods Start-Stopp-Gruppenradius
!
dot11 ssid Interaktiv
   vlan 1
   Authentifizierung offen 
   Verwaltung des Authentifizierungsschlüssels wpa
   mbssid Gastmodus
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   Authentifizierung offen 
   Verwaltung des Authentifizierungsschlüssels wpa
   mbssid Gastmodus
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   Authentifizierung Öffnen Sie eap eap_methods 
   Authentifizierung network-eap eap_methods 
   Verwaltung des Authentifizierungsschlüssels wpa Version 2
   Buchhaltung eap_methods
   mbssid Gastmodus
!
Schnittstelle Dot11Radio0
 keine IP-Adresse
 Kein IP-Route-Cache
 Verschlüsselung vlan 4 Modus Chiffren aes-ccm tkip 
 Verschlüsselung vlan 1 Modus Chiffren aes-ccm tkip 
 Verschlüsselung vlan 5 Modus Chiffren aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 Antennengewinn 0
 mbssid
 Keine kurze Slot-Zeit
 Geschwindigkeit basic-1.0 basic-2.0 basic-5.5 basic-11.0
 Kanal 2457
 Stationsrollenwurzel
!
Schnittstelle Dot11Radio0.1
 Beschreibung LAN Interactive
 Kapselung dot1Q 1 native
 Kein IP-Route-Cache
 Brückengruppe 1
 Teilnehmergruppenschleifensteuerung der Brückengruppe 1
 Brückengruppe 1 Block-Unbekannte-Quelle
 kein Bridge-Group-1-Source-Learning
 Keine Unicast-Überschwemmung der Brückengruppe 1
 Brückengruppe 1 übergreifend deaktiviert
!
Schnittstelle Dot11Radio0.4
 Beschreibung LAN Ospiti
 Einkapselung dot1Q 4
 Kein IP-Route-Cache
 Brückengruppe 4
 Teilnehmergruppenschleifensteuerung der Brückengruppe 4
 Brückengruppe 4 Block-Unbekannte-Quelle
 kein Bridge-Group-4-Source-Learning
 Keine Unicast-Überschwemmung der Brückengruppe 4
 Brückengruppe 4 übergreifend deaktiviert
!
Schnittstelle Dot11Radio0.5
 Beschreibung LAN-Test
 Einkapselung dot1Q 5
 Kein IP-Route-Cache
 Brückengruppe 5
 Teilnehmergruppenschleifensteuerung der Brückengruppe 5
 Brückengruppe 5 Block-Unbekannte-Quelle
 kein Bridge-Group-5-Source-Learning
 Keine Unicast-Überschwemmung der Brückengruppe 5
 Brückengruppe 5 übergreifend deaktiviert
!
Radius-Server-Attribut 32 Include-in-Access-Req-Format% h
Radius-Server-Attribut 4 10.132.0.253
Radius-Server-Host 10.132.0.99 Auth-Port 1812 ACTC-Port 1813 Nicht-Standardschlüssel 7 131312061E3811242A142A7C79
Radius-Server vsa senden Buchhaltung
Radius-Server vsa senden Authentifizierung

Und hier ist die Ausgabe von # show versione

Cisco IOS-Software, C1040-Software (C1140-K9W7-M), Version 12.4 (25d) JA1, RELEASE-SOFTWARE (fc1)
Technischer Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 von Cisco Systems, Inc.
Kompiliert Do 11-Aug-11 02:58 von prod_rel_team

ROM: Das Bootstrap-Programm ist der C1040-Bootloader
BOOTLDR: C1040 Bootloader (C1140-BOOT-M) Version 12.4 (23c) JA3, RELEASE SOFTWARE (fc1)

Die UFFICIO-AP1-Betriebszeit beträgt 8 Wochen, 2 Tage, 8 Stunden und 27 Minuten
Das System kehrte beim Einschalten zum ROM zurück
System neu gestartet um 22:39:10 UTC Di Apr 16 2013
Die System-Image-Datei lautet "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1".

Kann jemand helfen?

Marco Marzetti
quelle
2
Verwenden Sie ACS oder einen anderen RADIUS-Server?
Dave Noonan
Ich benutze FreeRADIUS mit MySQL-Backend
Marco Marzetti
@MarcoMarzetti, könnten Sie non-standardder radius-server hostZeile hinzufügen und mich wissen lassen, ob dies die Ergebnisse ändert, die Sie erhalten? Möglicherweise müssen Sie die key 7Anweisung selbst in eine andere Zeile setzen, damit dies funktioniert.
Mike Pennington
@ MikePennington fertig, aber nichts hat sich geändert. Übrigens habe ich diesen Fehler bekommen, als ich den Wert in "SSID = Interactive_Ospiti" geändert habe : parse unknown cisco vsa "SSID" - IGNORE. Daher versteht IOS das Attribut und versucht, es zu analysieren.
Marco Marzetti
Wofür ist deine Konfiguration interface Dot11Radio?
Generalnetworkerror

Antworten:

1

Versuchen Sie, den Operator in der Freeradius-Konfiguration auf "= ~" zu ändern:

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

Santino
quelle
Ich glaube nicht, dass dies helfen könnte, da "= ~" für Vergleiche ist und ich eine Aufgabe möchte. Beachten Sie, dass die SSID-Prüfung von IOS und nicht von FreeRADIUS durchgeführt werden sollte.
Marco Marzetti