У вас есть конкретный сценарий, в котором мы хотели бы использовать FreeRadius для входа в коммутаторы с использованием учетных данных Kerberos и сетевых устройств с использованием EAP-TLS.
В настоящее время это настроено и работает, но только по одному. Так что я могу войти в коммутатор, используя данные Kerberos, и вы получите ответный радиус действия. Когда устройство использует EAP-TLS, оно принимает имя машины и пытается аутентифицироваться по протоколу Kerberos, используя это имя, но впоследствии терпит неудачу из-за отсутствия пароля.
Если я закомментирую строку для 'files', например, в site-available / default, пользовательский файл больше не будет читаться, и поэтому Kerberos 'default = auth-type' больше не будет использоваться. Затем будет возвращен радиус, принимаемый для всех запросов eap-tls.
Поэтому приношу свои извинения за то, что не опубликовал какую-либо информацию о конфигурации или отладке, но невозможно поделиться этой информацией, но по запросу можно вручную ввести любой требуемый элемент.
Итак, мой вопрос: знает ли кто-нибудь, как одновременно настроить Freeradius для проверки подлинности управления коммутатором с использованием Kerberos и проверки подлинности сетевого компьютера с использованием EAP-TLS.
Спасибо заранее.
Не применяйте принудительно Auth-Type для всех случаев - только тогда, когда вы хотите использовать Kerberos.
Часто это может происходить путем настройки «Auth-Type = Kerberos», а не «Auth-Type: = Kerberos» - в первом случае атрибут не будет обновляться принудительно, если он уже был установлен EAP.
В качестве альтернативы не устанавливайте Auth-Type с помощью модуля files, а делайте это без языка, например с чем-то вроде
if (!Auth-Type) {
update control {
Auth-Type := Kerberos
}
}
после того, как был вызван eap. Вместо того, чтобы сказать "если (! Тип аутентификации)"вместо этого вы можете сделать это специфичным для запросов, которые должны использовать Kerberos, например, проверив Packet-Src-IP-Address / NAS-Identifier / Huntgroup / и т. д.