LINUX.ORG.RU

Freeradius ubuntu

 


0

1

Всем привет. Прошу прощение за оформление! Помогите с радиусом, какая то фигня не ясная.... Настроил Freeradius, проверяю работоспособность.

radtest sia 123123 127.0.0.1 1812 secrert11

Wed Feb 10 15:25:14 2021 : Auth: (0) Login OK: [sia] (from client localhost port 1812)

Я так понял порверка прошла успешно. Настраиваю аунтификацию по РАДИУСУ на свитче HP 1910, делаю согласно инструкции https://www.youtube.com/watch?v=Fm8wxU2fOJc&ab_channel=FKIT

Wed Feb 10 15:25:14 2021 : Auth: (0) Login OK: [sia] (from client localhost port 1812) Wed Feb 10 15:32:16 2021 : Auth: (1) Login OK: [sia] (from client 111 port 0 cli 00-00-00-00-00-00)

Должно быть все ок и свитч должен пустить меня, но он говорит что не правильный логин или пароль.

Ready to process requests (0) Received Access-Request Id 49 from 192.168.102.211:3004 to 192.168.102.42:1812 length 237 (0) User-Name = «sia» (0) User-Password = «123123» (0) NAS-IP-Address = 192.168.102.211 (0) NAS-Identifier = «HP-0e-192-168-102-211» (0) NAS-Port = 0 (0) NAS-Port-Id = «slot=0;subslot=0;port=0;vlanid=0» (0) NAS-Port-Type = Virtual (0) Service-Type = Login-User (0) Calling-Station-Id = «00-00-00-00-00-00» (0) Acct-Session-Id = «1210110173532010» (0) Framed-IP-Address = 192.168.102.90 (0) H3C-Connect_Id = 3473409 (0) H3C-Product-ID = «HP 1910-8 Switch» (0) H3C-Ip-Host-Addr = «192.168.102.90 00:00:00:00:00:00» (0) H3C-NAS-Startup-Timestamp = 956750412 (0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default (0) authorize { (0) policy filter_username { (0) if (&User-Name) { (0) if (&User-Name) -> TRUE (0) if (&User-Name) { (0) if (&User-Name =~ / /) { (0) if (&User-Name =~ / /) -> FALSE (0) if (&User-Name =~ /@[^@]*@/ ) { (0) if (&User-Name =~ /@[^@]*@/ ) -> FALSE (0) if (&User-Name =~ /\.\./ ) { (0) if (&User-Name =~ /\.\./ ) -> FALSE (0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) { (0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE (0) if (&User-Name =~ /\.$/) { (0) if (&User-Name =~ /\.$/) -> FALSE (0) if (&User-Name =~ /@\./) { (0) if (&User-Name =~ /@\./) -> FALSE (0) } # if (&User-Name) = notfound (0) } # policy filter_username = notfound (0) [preprocess] = ok (0) [chap] = noop (0) [mschap] = noop (0) [digest] = noop (0) suffix: Checking for suffix after «@» (0) suffix: No '@' in User-Name = «sia», looking up realm NULL (0) suffix: No such realm «NULL» (0) [suffix] = noop (0) eap: No EAP-Message, not doing EAP (0) [eap] = noop (0) files: users: Matched entry sia at line 92 (0) files: EXPAND Hello, %{User-Name} (0) files: --> Hello, sia (0) [files] = ok (0) [expiration] = noop (0) [logintime] = noop (0) [pap] = updated (0) } # authorize = updated (0) Found Auth-Type = PAP (0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default (0) Auth-Type PAP { (0) pap: Login attempt with password (0) pap: Comparing with «known good» Cleartext-Password (0) pap: User authenticated successfully (0) [pap] = ok (0) } # Auth-Type PAP = ok (0) # Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default (0) post-auth { (0) if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) { (0) if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) -> FALSE (0) update { (0) No attributes updated for RHS &session-state: (0) } # update = noop (0) [exec] = noop (0) policy remove_reply_message_if_eap { (0) if (&reply:EAP-Message && &reply:Reply-Message) { (0) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE (0) else { (0) [noop] = noop (0) } # else = noop (0) } # policy remove_reply_message_if_eap = noop (0) } # post-auth = noop (0) Login OK: [sia] (from client 111 port 0 cli 00-00-00-00-00-00) (0) Sent Access-Accept Id 49 from 192.168.102.42:1812 to 192.168.102.211:3004 length 0 (0) Reply-Message = «Hello, sia» (0) Finished request Waking up in 4.9 seconds. (0) Cleaning up request packet ID 49 with timestamp +17 Ready to process requests

Решил, хотя очень странно. Сбросил свитч и настроил по новой, все заработало! Прикрутил Daloradius. Кстати обязательно в радиус сервере нужно добавлять атрибуты для саитча, иначе вы заходите на него в режиме чтения.

#HP_1910#######################################################################

VENDOR H3C 25506 /etc/freeradius/3.0/dictionary
BEGIN-VENDOR H3C

ATTRIBUTE H3C-Connect_Id 26 integer ATTRIBUTE H3C-NAS-Startup-Timestamp 59 integer ATTRIBUTE H3C-Ip-Host-Addr 60 string ATTRIBUTE H3C-Product-ID 255 string

ATTRIBUTE Hw_Exec_Privilege 29 integer

VALUE Hw_Exec_Privilege H3C-Visitor 0 VALUE Hw_Exec_Privilege H3C-Monitor 1 VALUE Hw_Exec_Privilege H3C-Manager 2 VALUE Hw_Exec_Privilege H3C-Administrator 3

END-VENDOR H3C

/etc/freeradius/3.0/users

sia Cleartext-Password := «123123»

Hw_Exec_Privilege = H3C-Administrator,

Service-Type = NAS-Prompt-User,

Login-Service = Telnet

Хочу еще сделать что бы мой свитч отправлял запрос радиус серверу как только в сети появлялся новый mac address. А тот в свою очередь проверял есть ли мак и ip а базе и если да то пускал в сетку.

Не могу найти нигде инфу как это сделать. Направьте плиз, все усложняется тем что свитч HP 1910

testsia ()