Назад | Перейти на главную страницу

Как настроить FreeRadius на прием всех запросов аутентификации?

Я пытаюсь настроить FreeRadius для работы с динамическим назначением VLAN.

Я пытаюсь вернуть конкретный идентификатор VLAN для известных хостов, но вернуть идентификатор VLAN по умолчанию для неизвестных хостов.

Это моя первая попытка создать файл / etc / freeradius / users с единственным допустимым MAC-адресом ...

DEFAULT
                Tunnel-Type = VLAN,
                Tunnel-Medium-Type = IEEE-802,
                Fall-Through = Yes

00188bc6db33    Cleartext-Password := "00188bc6db33"
                Tunnel-Private-Group-ID := 9

DEFAULT
                Auth-Type = Accept,
                Tunnel-Private-Group-ID = 1

Если я протестирую это, используя действительный MAC-адрес, он будет работать нормально и вернет идентификатор VLAN 9.

root@wwwcache1:/etc/freeradius# radtest 00188bc6db33 00188bc6db33
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
        User-Name = "00188bc6db33"
        User-Password = "00188bc6db33"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "9"

... но если я использую неизвестный MAC-адрес, аутентификация отклоняется.

root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 13 to 127.0.0.1 port 1812
        User-Name = "0123456789ab"
        User-Password = "0123456789ab"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Reject packet from host
127.0.0.1 port 1812, id=13, length=20

Что я хотел бы видеть от radtest для этого, так это

root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
        User-Name = "0123456789ab"
        User-Password = "0123456789ab"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"

Как я могу заставить freeradius всегда возвращать пакет Access-Accept независимо от запроса аутентификации?

Не лучше ли настроить коммутатор на влан с ошибкой аутентификации? Я серьезно сомневаюсь, что вы когда-нибудь найдете способ заставить любую аутентификацию ВСЕГДА говорить, что любая комбинация имени пользователя и пароля является правильной ... без нарушения многих вещей.

Проблема в настройках по умолчанию - несоответствие пароля, поэтому он отклоняет другие MAC-адреса, попробуйте записать настройки по умолчанию как

DEFAULT        Cleartext-Password := "%{User-Name}"
               Tunnel-Private-Group-ID := 1,
               Reply-Message := "Hello %{User-Name}, You are assigned vlan 1"

На моей машине это работает как шарм.