https://opennet.me/openforum/vsluhforumID6/19128.html В общем ситуация вкратце. <br>Поставленая задача: настроить 802.1x на freeradius для аутеньтификации поьзователей, которые втыкаются в сеть через Cisco switch 3560G.<br>Настроил freeradius на Ubuntu 8.10 сервере, samba работает нормально. Freeradius работает по peap/mschapv2.<br><br>Пишу тут потому что думаю что проблемма возникает либо у клиента и свича либо у сервера и свича. <br><br><br>Пользователь в AD находится и аутеньтификация проходит с самого radius сервера. <br>:~$ radtest ADuser pass localhost 0 testing123<br><br>Sending Access-Request of id 227 to 127.0.0.1 port 1812<br>User-Name = "ADuser"<br>User-Password = "pass"<br>NAS-IP-Address = 127.0.1.1<br>NAS-Port = 0<br>rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=227, length=20<br><br><br>Содержание /etc/freeradius/clients.conf, то что я менял<br><br># Cisco switch 3560G<br><br>client 10.77.10.248 {<br> secret = password<br> nastype = cisco<br> shortname = 10.77.10.248<br>}<br># Network to activate access control <br><br><br>client 10.77.10.0/24 {<br> secret = https://opennet.me/openforum/vsluhforumID6/19128.html#6 Wed, 08 Jul 2009 11:35:03 GMT Нет, не включён. А надо бы попробовать для ускорения процесса. Спасибо:)<br><br>Portfast Default is disabled<br>PortFast BPDU Guard Default is disabled<br>Portfast BPDU Filter Default is disabled<br>Loopguard Default is disabled<br>EtherChannel misconfig guard is enabled<br>UplinkFast is disabled<br>BackboneFast is disabled<br><br>&gt;&gt;Победа! <br>&gt;&gt;<br>&gt;<br>&gt;а STP на портах коммутатора в каком режиме? - portfast включен? https://opennet.me/openforum/vsluhforumID6/19128.html#5 Tue, 07 Jul 2009 17:35:07 GMT &gt;Победа! <br>&gt;<br><br>а STP на портах коммутатора в каком режиме? - portfast включен?<br> https://opennet.me/openforum/vsluhforumID6/19128.html#4 Thu, 02 Jul 2009 12:06:28 GMT Победа!<br><br>Всё заработало. Дело было в клиенте, видимо Windows XP SP2 на ноутах HP по какой то причине не отсылал EAP запросы на свич несмотря на настройки и изменения в реестре. На рабочей станции всё заработало без проблемм. Пришлось только сделать acl на чтение и выполнение /usr/run/samba/winbind_priveleged для юзера freerad чтобы заработал EAP/TLS. <br><br>&gt;[оверквотинг удален]<br>&gt;&gt;так и должно быть? <br>&gt;&gt;<br>&gt;&gt;Со стороны клиента смущает Domain UNKNOWN: <br>&gt;&gt;<br>&gt;&gt;#show authentication sessions <br>&gt;&gt;Interface MAC Address Method Domain <br>&gt;&gt; Status <br>&gt;&gt;Session ID <br>&gt;&gt;Gi0/30 0022.645c.adas dot1x UNKNOWN <br>&gt;&gt; Running 0A4D0AF80000008C4891B752 <br><br> https://opennet.me/openforum/vsluhforumID6/19128.html#3 Mon, 29 Jun 2009 08:24:37 GMT Обновление:<br><br>Тест с циски на фрирадиус проходит. <br><br>switch_it# test aaa group radius ADuser pass port 1812 new-code <br>User successfully authenticated<br><br><br>Дебаг udp порта на фрирадиусе в момент тестирования:<br> <br>pbashurin@Pitbull:~$ sudo tcpdump -n -i eth1 udp and port 1812<br>[sudo] password for ADuser: <br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes<br>04:18:00.645305 IP 10.77.10.253.1645 &gt; 10.77.10.203.1812: RADIUS, Access Request (1), id: 0x4d length: 55<br>04:18:00.645460 IP 10.77.10.203.1812 &gt; 10.77.10.253.1645: RADIUS, Access Accept (2), id: 0x4d length: 20<br><br>Когда тестирую с компа XP SP2 говрит что аутентификацию пользователь не проходит. Дебаг порта на фрирадиусе при этом молчит. Видимо по каким то причинам 3560G свич не пересылает запрос на фрирадиус. То же самое проверил с моделью 2960 IOS c2960-lanbase-mz.122-35.SE5<br><br>Видимо проблемма в натройках свичей. В чем дело понять пока не могу. Чесно говоря о https://opennet.me/openforum/vsluhforumID6/19128.html#2 Thu, 25 Jun 2009 05:16:55 GMT &gt;&gt;<br>&gt;&gt;Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё <br>&gt;&gt;надо, пишите, выложу! <br>&gt;<br>&gt;В конфиге не видно строки <br>&gt; aaa new-model <br>&gt;<br>&gt;она есть? <br><br>Switch-Serv#show running-config &#124; include new<br>aaa new-model<br><br>Строка есть. Больше всего смущает вот это: <br><br>Switch-Serv#show radius server-group all<br>Sever group radius<br> Sharecount = 1 sg_unconfigured = FALSE<br> Type = standard Memlocks = 1<br> Server(10.77.10.203:1812,1813) Transactions:<br> Authen: Not AvailableAuthor:Not AvailableAcct:Not Available<br><br>Говорит что аутентификация не доступна.. У кого есть циска свич с фрирадиусом, так и должно быть?<br><br>Со стороны клиента смущает Domain UNKNOWN:<br><br>#show authentication sessions<br>Interface MAC Address Method Domain Status Session ID<br>Gi0/30 0022.645c.adas dot1x UNKNOWN Running 0A4D0AF80000008C4891B752<br><br><br><br><br><br> https://opennet.me/openforum/vsluhforumID6/19128.html#1 Wed, 24 Jun 2009 13:53:16 GMT &gt;<br>&gt;Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё <br>&gt;надо, пишите, выложу! <br><br>В конфиге не видно строки <br> aaa new-model<br><br>она есть?<br>