Ich möchte meinen RADIUS-Server verwenden, um den Zugriff auf die konfigurierte SSID pro Benutzer einzuschränken .
Gemäß der oben verlinkten Dokumentation füge ich einem Testbenutzer das folgende Attribut hinzu:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
Wenn ich also die Authentifizierung mit Debugradius aktiviere , sehe ich:
12. Juni 08: 30: 08.266: RADIUS (00001A96): Zugriffsanforderung an 212.183.164.38:1812 ID 1645/128, Länge 177 senden 12. Juni 08: 30: 08.266: RADIUS: Authentifikator CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 12. Juni 08: 30: 08.267: RADIUS: Benutzername [1] 12 "ospite-5vh" 12. Juni 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400 12. Juni 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002" 12. Juni 08: 30: 08.267: RADIUS: Calling-Station-ID [31] 16 "2064.3267.44ca" 12. Juni 08: 30: 08.267: RADIUS: Anbieter, Cisco [26] 29 12. Juni 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test" 12. Juni 08: 30: 08.267: RADIUS: Diensttyp [6] 6 Login [1] 12. Juni 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18 12. Juni 08: 30: 08.267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] 12. Juni 08: 30: 08.267: RADIUS: EAP-Nachricht [79] 17 12. Juni 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh] 12. Juni 08: 30: 08.267: RADIUS: NAS-Port-Typ [61] 6 802.11 Wireless [19] 12. Juni 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037 12. Juni 08: 30: 08.268: RADIUS: NAS-Port-ID [87] 6 "7037" 12. Juni 08: 30: 08.268: RADIUS: NAS-IP-Adresse [4] 6 10.132.0.253 12. Juni 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1" 12. Juni 08: 30: 08.325: RADIUS: Empfangen von ID 1645/128 212.183.164.38:1812, Access-Challenge, Len 95 12. Juni 08: 30: 08.325: RADIUS: Authentifikator 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12. Juni 08: 30: 08.325: RADIUS: Anbieter, Cisco [26] 31 12. Juni 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" 12. Juni 08: 30: 08.325: RADIUS: EAP-Nachricht [79] 8 12. Juni 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ]] 12. Juni 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18 12. Juni 08: 30: 08.325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??] 12. Juni 08: 30: 08.326: RADIUS: Zustand [24] 18 12. Juni 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12. Juni 08: 30: 08.326: RADIUS (00001A96): Empfangen von ID 1645/128
Ich würde also erwarten, dass die Anfrage abgelehnt wird, da die "Assoziations-SSID" nicht mit der RADIUS-SSID übereinstimmt, sondern bestätigt wird und der Benutzer eine Verbindung herstellt.
Relevante Konfigurationen folgen:
aaa Standardgruppenradius für die Authentifizierungsanmeldung aaa Authentifizierungsanmeldung eap_methods Gruppenradius aaa Standard des Autorisierungsnetzwerks, wenn authentifiziert aaa Buchhaltung verschachtelt aaa regelmäßige Aktualisierung der Buchhaltung 5 aaa Abrechnungsnetzwerk eap_methods Start-Stopp-Gruppenradius ! dot11 ssid Interaktiv vlan 1 Authentifizierung offen Verwaltung des Authentifizierungsschlüssels wpa mbssid Gastmodus wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti vlan 4 Authentifizierung offen Verwaltung des Authentifizierungsschlüssels wpa mbssid Gastmodus wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test vlan 5 Authentifizierung Öffnen Sie eap eap_methods Authentifizierung network-eap eap_methods Verwaltung des Authentifizierungsschlüssels wpa Version 2 Buchhaltung eap_methods mbssid Gastmodus ! Schnittstelle Dot11Radio0 keine IP-Adresse Kein IP-Route-Cache Verschlüsselung vlan 4 Modus Chiffren aes-ccm tkip Verschlüsselung vlan 1 Modus Chiffren aes-ccm tkip Verschlüsselung vlan 5 Modus Chiffren aes-ccm tkip ssid Interactive ssid Interactive_Ospiti ssid Interactive_Test Antennengewinn 0 mbssid Keine kurze Slot-Zeit Geschwindigkeit basic-1.0 basic-2.0 basic-5.5 basic-11.0 Kanal 2457 Stationsrollenwurzel ! Schnittstelle Dot11Radio0.1 Beschreibung LAN Interactive Kapselung dot1Q 1 native Kein IP-Route-Cache Brückengruppe 1 Teilnehmergruppenschleifensteuerung der Brückengruppe 1 Brückengruppe 1 Block-Unbekannte-Quelle kein Bridge-Group-1-Source-Learning Keine Unicast-Überschwemmung der Brückengruppe 1 Brückengruppe 1 übergreifend deaktiviert ! Schnittstelle Dot11Radio0.4 Beschreibung LAN Ospiti Einkapselung dot1Q 4 Kein IP-Route-Cache Brückengruppe 4 Teilnehmergruppenschleifensteuerung der Brückengruppe 4 Brückengruppe 4 Block-Unbekannte-Quelle kein Bridge-Group-4-Source-Learning Keine Unicast-Überschwemmung der Brückengruppe 4 Brückengruppe 4 übergreifend deaktiviert ! Schnittstelle Dot11Radio0.5 Beschreibung LAN-Test Einkapselung dot1Q 5 Kein IP-Route-Cache Brückengruppe 5 Teilnehmergruppenschleifensteuerung der Brückengruppe 5 Brückengruppe 5 Block-Unbekannte-Quelle kein Bridge-Group-5-Source-Learning Keine Unicast-Überschwemmung der Brückengruppe 5 Brückengruppe 5 übergreifend deaktiviert ! Radius-Server-Attribut 32 Include-in-Access-Req-Format% h Radius-Server-Attribut 4 10.132.0.253 Radius-Server-Host 10.132.0.99 Auth-Port 1812 ACTC-Port 1813 Nicht-Standardschlüssel 7 131312061E3811242A142A7C79 Radius-Server vsa senden Buchhaltung Radius-Server vsa senden Authentifizierung
Und hier ist die Ausgabe von # show versione
Cisco IOS-Software, C1040-Software (C1140-K9W7-M), Version 12.4 (25d) JA1, RELEASE-SOFTWARE (fc1) Technischer Support: http://www.cisco.com/techsupport Copyright (c) 1986-2011 von Cisco Systems, Inc. Kompiliert Do 11-Aug-11 02:58 von prod_rel_team ROM: Das Bootstrap-Programm ist der C1040-Bootloader BOOTLDR: C1040 Bootloader (C1140-BOOT-M) Version 12.4 (23c) JA3, RELEASE SOFTWARE (fc1) Die UFFICIO-AP1-Betriebszeit beträgt 8 Wochen, 2 Tage, 8 Stunden und 27 Minuten Das System kehrte beim Einschalten zum ROM zurück System neu gestartet um 22:39:10 UTC Di Apr 16 2013 Die System-Image-Datei lautet "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1".
Kann jemand helfen?
non-standard
derradius-server host
Zeile hinzufügen und mich wissen lassen, ob dies die Ergebnisse ändert, die Sie erhalten? Möglicherweise müssen Sie diekey 7
Anweisung selbst in eine andere Zeile setzen, damit dies funktioniert.parse unknown cisco vsa "SSID" - IGNORE
. Daher versteht IOS das Attribut und versucht, es zu analysieren.interface Dot11Radio
?Antworten:
Versuchen Sie, den Operator in der Freeradius-Konfiguration auf "= ~" zu ändern:
ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"
quelle