Я пытаюсь настроить FreeRadius для работы с динамическим назначением VLAN.
Я пытаюсь вернуть конкретный идентификатор VLAN для известных хостов, но вернуть идентификатор VLAN по умолчанию для неизвестных хостов.
Это моя первая попытка создать файл / etc / freeradius / users с единственным допустимым MAC-адресом ...
DEFAULT
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Fall-Through = Yes
00188bc6db33 Cleartext-Password := "00188bc6db33"
Tunnel-Private-Group-ID := 9
DEFAULT
Auth-Type = Accept,
Tunnel-Private-Group-ID = 1
Если я протестирую это, используя действительный MAC-адрес, он будет работать нормально и вернет идентификатор VLAN 9.
root@wwwcache1:/etc/freeradius# radtest 00188bc6db33 00188bc6db33
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
User-Name = "00188bc6db33"
User-Password = "00188bc6db33"
NAS-IP-Address = 10.58.3.132
NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "9"
... но если я использую неизвестный MAC-адрес, аутентификация отклоняется.
root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 13 to 127.0.0.1 port 1812
User-Name = "0123456789ab"
User-Password = "0123456789ab"
NAS-IP-Address = 10.58.3.132
NAS-Port = 0 rad_recv: Access-Reject packet from host
127.0.0.1 port 1812, id=13, length=20
Что я хотел бы видеть от radtest для этого, так это
root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
User-Name = "0123456789ab"
User-Password = "0123456789ab"
NAS-IP-Address = 10.58.3.132
NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "1"
Как я могу заставить freeradius всегда возвращать пакет Access-Accept независимо от запроса аутентификации?
Не лучше ли настроить коммутатор на влан с ошибкой аутентификации? Я серьезно сомневаюсь, что вы когда-нибудь найдете способ заставить любую аутентификацию ВСЕГДА говорить, что любая комбинация имени пользователя и пароля является правильной ... без нарушения многих вещей.
Проблема в настройках по умолчанию - несоответствие пароля, поэтому он отклоняет другие MAC-адреса, попробуйте записать настройки по умолчанию как
DEFAULT Cleartext-Password := "%{User-Name}"
Tunnel-Private-Group-ID := 1,
Reply-Message := "Hello %{User-Name}, You are assigned vlan 1"
На моей машине это работает как шарм.