форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Cisco Свич + FreeRadius + XP клиенты"		+/–
Сообщение от pavelbash on 24-Июн-09, 16:53
В общем ситуация вкратце. Поставленая задача: настроить 802.1x на freeradius для аутеньтификации поьзователей, которые втыкаются в сеть через Cisco switch 3560G. Настроил freeradius на Ubuntu 8.10 сервере, samba работает нормально. Freeradius работает по peap/mschapv2. Пишу тут потому что думаю что проблемма возникает либо у клиента и свича либо у сервера и свича. Пользователь в AD находится и аутеньтификация проходит с самого radius сервера. :~$ radtest ADuser pass localhost 0 testing123 Sending Access-Request of id 227 to 127.0.0.1 port 1812     User-Name = "ADuser"     User-Password = "pass"     NAS-IP-Address = 127.0.1.1     NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=227, length=20 Содержание /etc/freeradius/clients.conf, то что я менял # Cisco switch 3560G client 10.77.10.248 {         secret = password         nastype = cisco         shortname = 10.77.10.248 } # Network to activate access control client 10.77.10.0/24 {         secret = password         shortname = inside } Содержание /etc/freeradius/eap.conf (то что посчитал нужным включить) default_eap_type = peap   tls {                         confdir = /etc/freeradius                         certdir = ${confdir}/certs                         cadir = ${confdir}/certs                         private_key_password = whatever                         private_key_file = ${certdir}/cert-srv.pem                         certificate_file = ${certdir}/cert-srv.pem                         CA_file = ${cadir}/root.pem                                               dh_file = ${certdir}/dh                         # random_file = ${certdir}/random                         random_file = /dev/urandom                       peap {                         default_eap_type = mschapv2                                           copy_request_to_tunnel = no                         use_tunneled_reply = no                               virtual_server = "inner-tunnel"                 }                              mschapv2 {                 }         } Содержание /etc/freeradius/modules/mschap mschap {         with_ntdomain_hack = yes ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{mschap:NT-Domain:MYDOMAIN} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}" } Конфигурация Cisco Switch 3560G: # show run aaa authentication dot1x default group radius aaa authorization network default group radius ! ! ! aaa session-id common ! dot1x system-auth-control ! interface GigabitEthernet0/30 switchport mode access authentication event no-response action authorize vlan 30 authentication port-control auto dot1x pae authenticator ! interface Vlan1 ip address 10.77.10.248 255.255.255.0 ! radius-server host 10.77.10.203 auth-port 1812 acct-port 1813 timeout 3 radius-server key password #show version BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1) System image file is "flash:c3560-ipbase-mz.122-50.SE1.bin" #show authentication sessions Interface  MAC Address     Method   Domain   Status         Session ID Gi0/30     0022.645c.adas  dot1x    UNKNOWN  Running        0A4D0AF80000008C4891B752 #show radius server-group all Sever group radius     Sharecount = 1  sg_unconfigured = FALSE     Type = standard  Memlocks = 1     Server(10.77.10.203:1812,1813) Transactions:     Authen: Not Available    Author:Not Available    Acct:Not Available Дебаги не показывают ничего почему то. Radius protocol debugging is on Radius packet protocol (authentication) debugging is on Radius packet retransmission debugging is on dot1x:   Dot1x registry info debugging is on   Dot1x redundancy info debugging is on   Dot1x packet info debugging is on   Dot1x events debugging is on   Dot1x State machine transitions and actions debugging is on   Dot1x Errors debugging is on   Dot1x Supplicant EAP-FAST debugging is on   Dot1x Manager debugging is on   Dot1x Supplicant State Machine debugging is on Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё надо, пишите, выложу!
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco Свич + FreeRadius + XP клиенты"		+/–
Сообщение от enter on 24-Июн-09, 17:53
> >Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё >надо, пишите, выложу! В конфиге не видно строки   aaa new-model она есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco Свич + FreeRadius + XP клиенты"		+/–
	Сообщение от pavelbash on 25-Июн-09, 09:16
	>> >>Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё >>надо, пишите, выложу! > >В конфиге не видно строки >  aaa new-model > >она есть? Switch-Serv#show running-config | include new aaa new-model Строка есть. Больше всего смущает вот это: Switch-Serv#show radius server-group all Sever group radius     Sharecount = 1  sg_unconfigured = FALSE     Type = standard  Memlocks = 1     Server(10.77.10.203:1812,1813) Transactions:     Authen: Not Available    Author:Not Available    Acct:Not Available Говорит что аутентификация не доступна.. У кого есть циска свич с фрирадиусом, так и должно быть? Со стороны клиента смущает Domain UNKNOWN: #show authentication sessions Interface  MAC Address     Method   Domain   Status         Session ID Gi0/30     0022.645c.adas  dot1x    UNKNOWN  Running        0A4D0AF80000008C4891B752
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco Свич + FreeRadius + XP клиенты"		+/–
	Сообщение от pavelbash on 29-Июн-09, 12:24
	Обновление: Тест с циски на фрирадиус проходит. switch_it# test aaa group radius ADuser pass port 1812 new-code User successfully authenticated Дебаг udp порта на фрирадиусе в момент тестирования: pbashurin@Pitbull:~$ sudo tcpdump -n -i eth1 udp and port 1812 [sudo] password for ADuser: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 04:18:00.645305 IP 10.77.10.253.1645 > 10.77.10.203.1812: RADIUS, Access Request (1), id: 0x4d length: 55 04:18:00.645460 IP 10.77.10.203.1812 > 10.77.10.253.1645: RADIUS, Access Accept (2), id: 0x4d length: 20 Когда тестирую с компа XP SP2 говрит что аутентификацию пользователь не проходит. Дебаг порта на фрирадиусе при этом молчит. Видимо по каким то причинам 3560G свич не пересылает запрос на фрирадиус. То же самое проверил с моделью 2960 IOS c2960-lanbase-mz.122-35.SE5 Видимо проблемма в натройках свичей. В чем дело понять пока не могу. Чесно говоря ожидал что настройка циски будет самым лёгким этапом в настройке проводного 802.1x... >[оверквотинг удален] >так и должно быть? > >Со стороны клиента смущает Domain UNKNOWN: > >#show authentication sessions >Interface  MAC Address     Method   Domain >  Status         >Session ID >Gi0/30     0022.645c.adas  dot1x    UNKNOWN > Running        0A4D0AF80000008C4891B752
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco Свич + FreeRadius + XP клиенты"		+/–
	Сообщение от pavelbash on 02-Июл-09, 16:06
	Победа! Всё заработало. Дело было в клиенте, видимо Windows XP SP2 на ноутах HP по какой то причине не отсылал EAP запросы на свич несмотря на настройки и изменения в реестре. На рабочей станции всё заработало без проблемм. Пришлось только сделать acl на чтение и выполнение /usr/run/samba/winbind_priveleged для юзера freerad чтобы заработал EAP/TLS. >[оверквотинг удален] >>так и должно быть? >> >>Со стороны клиента смущает Domain UNKNOWN: >> >>#show authentication sessions >>Interface  MAC Address     Method   Domain >>  Status         >>Session ID >>Gi0/30     0022.645c.adas  dot1x    UNKNOWN >> Running        0A4D0AF80000008C4891B752
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco Свич + FreeRadius + XP клиенты"		+/–
	Сообщение от ПИнеу on 07-Июл-09, 21:35
	>Победа! > а STP на портах коммутатора в каком режиме? - portfast включен?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Cisco Свич + FreeRadius + XP клиенты"		+/–
	Сообщение от pavelbash on 08-Июл-09, 15:35
	Нет, не включён. А надо бы попробовать для ускорения процесса. Спасибо:) Portfast Default             is disabled PortFast BPDU Guard Default  is disabled Portfast BPDU Filter Default is disabled Loopguard Default            is disabled EtherChannel misconfig guard is enabled UplinkFast                   is disabled BackboneFast                 is disabled >>Победа! >> > >а STP на портах коммутатора в каком режиме? - portfast включен?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема