Я пытаюсь понять, можно ли использовать FreeRADIUS для фильтрации определенных типов запросов перед пересылкой запроса в его конечный пункт назначения.
У меня следующая топология для пакетов учета RADIUS.
WAP -> Aruba Clearpass (RADIUS Server) -> Fortigate (Firewall)
Это настроено так, что я могу использовать учетные пакеты RADIUS для аутентификации пользователей на межсетевом экране.
У меня возникла проблема, когда, когда пользователь перемещается между AP, пакет Accounting-Start поступает на брандмауэр от Новой AP до того, как пакет Accounting-Stop прибывает от Старой AP. Это приводит к прерыванию сеанса аутентификации межсетевого экрана.
Я хотел бы вставить FreeRADIUS между Clearpass и Fortigate только для пересылки / прокси-пакетов Accounting-Start.
FreeRADIUS - большой и запутанный зверь, если вы не использовали его раньше. Я надеюсь, что кто-то может указать мне правильное направление с точки зрения необходимого типа конфигурации. Я счастлив провести исследование, просто нужно знать, где искать.
Я пробовал использовать attr_filter
attr_filter attr_filter.accounting_request {
key = "%{User-Name}"
filename = ${modconfdir}/${.:name}/accounting_request
}
Со следующей конфигурацией
DEFAULT
Acct-Status-Type == Start,
Filter-Id =* ANY,
User-Name =* ANY,
Framed-IP-Address =* ANY
Все, что это, кажется, на данный момент, - это удалить Acct-Status-Type атрибут, если он не типа Start. Но пропустим другие детали.