Utilisation de RADIUS pour restreindre le SSID sur Cisco Aironet


10

Je voudrais utiliser mon serveur RADIUS pour restreindre l'accès au SSID configuré par utilisateur .

Selon la documentation liée ci-dessus, j'ajoute l'attribut suivant à un utilisateur de test:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Donc, en activant l' authentification du rayon de débogage , je vois:

12 juin 08: 30: 08.266: RADIUS (00001A96): Envoyer la demande d'accès au 212.183.164.38:1812 id 1645/128, len 177
12 juin 08: 30: 08.266: RAYON: authentificateur CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 juin 08: 30: 08.267: RAYON: Nom d'utilisateur [1] 12 "ospite-5vh"
12 juin 08: 30: 08.267: RAYON: Framed-MTU [12] 6 1400                      
12 juin 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 juin 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 juin 08: 30: 08.267: RAYON: Fournisseur, Cisco [26] 29  
12 juin 08: 30: 08.267: RAYON: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 juin 08: 30: 08.267: RAYON: Type de service [6] 6 Connexion [1]
12 juin 08: 30: 08.267: RAYON: Message-Authenticato [80] 18  
12 juin 08: 30: 08.267: RAYON: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 juin 08: 30: 08.267: RAYON: Message EAP [79] 17  
12 juin 08: 30: 08.267: RAYON: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 juin 08: 30: 08.267: RAYON: Type de port NAS [61] 6 802.11 sans fil [19]
12 juin 08: 30: 08.267: RAYON: Port NAS [5] 6 7037                      
12 juin 08: 30: 08.268: RAYON: NAS-Id-Port [87] 6 "7037"
12 juin 08: 30: 08.268: RAYON: NAS-IP-Address [4] 6 10.132.0.253              
12 juin 08: 30: 08.268: RAYON: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 juin 08: 30: 08.325: RAYON: Reçu de l'id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 juin 08: 30: 08.325: RAYON: authentificateur 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 juin 08: 30: 08.325: RAYON: Fournisseur, Cisco [26] 31  
12 juin 08: 30: 08.325: RAYON: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 juin 08: 30: 08.325: RAYON: Message EAP [79] 8   
12 juin 08: 30: 08.325: RAYON: 01 02 00 06 19 20 [????? ]
12 juin 08: 30: 08.325: RAYON: Message-Authenticato [80] 18  
12 juin 08: 30: 08.325: RAYON: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 juin 08: 30: 08.326: RAYON: État [24] 18  
12 juin 08: 30: 08.326: RAYON: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 juin 08: 30: 08.326: RADIUS (00001A96): Reçu de l'id 1645/128

Je m'attendrais donc à ce que la demande soit refusée car le "SSID d'association" ne correspond pas au RADIUS, il est plutôt reconnu et l'utilisateur est connecté.

Les configurations pertinentes suivent:

rayon de groupe par défaut de connexion d'authentification aaa
connexion d'authentification aaa rayon du groupe eap_methods
réseau d'autorisation aaa par défaut si authentifié 
comptabilité aaa imbriquée
mise à jour comptable aaa périodique 5
réseau comptable aaa eap_methods rayon de groupe de début et de fin
!
dot11 ssid Interactive
   vlan 1
   authentification ouverte 
   authentification gestion des clés wpa
   mbssid guest-mode
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   authentification ouverte 
   authentification gestion des clés wpa
   mbssid guest-mode
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   authentification ouverte eap eap_methods 
   authentification network-eap eap_methods 
   authentification gestion des clés wpa version 2
   comptabilité eap_methods
   mbssid guest-mode
!
interface Dot11Radio0
 pas d'adresse ip
 pas de cache de route ip
 chiffrement chiffrement en mode vlan 4 aes-ccm tkip 
 chiffrement chiffrement en mode vlan 1 aes-ccm tkip 
 chiffrement chiffrement en mode vlan 5 aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 gain d'antenne 0
 mbssid
 pas de courte durée
 vitesse de base-1.0 de base-2.0 de base-5.5 de base-11.0
 canal 2457
 racine de rôle de station
!
interface Dot11Radio0.1
 description LAN Interactive
 encapsulation dot1Q 1 native
 pas de cache de route ip
 pont-groupe 1
 pont-groupe 1 abonné-boucle-contrôle
 pont-groupe 1 bloc-source-inconnue
 pas de bridge-group 1 source-learning
 pas de pont unicast-inondation du groupe 1
 pont-groupe 1 étendu-désactivé
!
interface Dot11Radio0.4
 description LAN Ospiti
 encapsulation dot1Q 4
 pas de cache de route ip
 pont-groupe 4
 pont-groupe 4 abonné-boucle-contrôle
 pont-groupe 4 bloc-source-inconnue
 pas d'apprentissage de source du groupe-pont 4
 pas de pont-groupe 4 inondation unicast
 pont-groupe 4 couvrant-désactivé
!
interface Dot11Radio0.5
 description LAN Test
 encapsulation dot1Q 5
 pas de cache de route ip
 pont-groupe 5
 bridge-group 5 abonné-boucle-contrôle
 pont-groupe 5 bloc-source-inconnue
 pas d'apprentissage à la source du bridge-group 5
 aucune inondation à monodiffusion du groupe de ponts 5
 pont-groupe 5 couvrant-désactivé
!
attribut rayon-serveur 32 format d'inclusion d'accès requis% h
attribut radius-server 4 10.132.0.253
hôte du serveur radius 10.132.0.99 port-auth 1812 port-acct 1813 clé non standard 7 131312061E3811242A142A7C79
rayon-serveur vsa envoyer la comptabilité
rayon-serveur vsa envoyer l'authentification

Et voici la sortie de # show versione

Logiciel Cisco IOS, logiciel C1040 (C1140-K9W7-M), version 12.4 (25d) JA1, LOGICIEL DE LIBÉRATION (fc1)
Support technique: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 par Cisco Systems, Inc.
Compilé jeu 11-août-11 02:58 par prod_rel_team

ROM: le programme Bootstrap est le chargeur de démarrage C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Version 12.4 (23c) JA3, RELEASE SOFTWARE (fc1)

UFFICIO-AP1 est disponible sur 8 semaines, 2 jours, 8 heures, 27 minutes
Système retourné à la ROM à la mise sous tension
Système redémarré à 22:39:10 UTC mar 16 avril 2013
Le fichier d'image système est "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Quelqu'un peut-il aider?


2
Utilisez-vous ACS ou un autre serveur RADIUS?
Dave Noonan

J'utilise FreeRADIUS avec le backend MySQL
Marco Marzetti

@MarcoMarzetti, pourriez-vous ajouter non-standardà la radius-server hostligne et me faire savoir si cela change les résultats que vous obtenez? Vous devrez peut-être mettre la key 7déclaration seule sur une ligne différente pour que cela fonctionne.
Mike Pennington

@MikePennington fait, mais rien n'a changé. BTW j'ai eu cette erreur lorsque je l' ai changé la valeur à « SSID = Interactive_Ospiti »: parse unknown cisco vsa "SSID" - IGNORE. IOS comprend donc l'attribut et essaie de l'analyser.
Marco Marzetti

À quoi sert votre configuration interface Dot11Radio?
generalnetworkerror

Réponses:


1

Essayez de changer l'opérateur dans la configuration freeradius en "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


ne pense pas que cela pourrait aider car "= ~" est pour les comparaisons et je veux une affectation. Notez que la vérification SSID doit être effectuée par IOS et non par FreeRADIUS.
Marco Marzetti
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.