Недавно я погрузился в аутентификацию 802.1x с динамическим назначением vlan.
Моя текущая установка включает: - Клиент - Коммутатор Cisco SG220 (запрашивающий) - Freeradius (аутентификатор) на основе LDAP AD - Фортигат для целей межсетевого экрана и действующий как сервер DHCP.
Что касается аутентификации, она работает. Мой пользователь проходит аутентификацию и получает сообщение Access-Accept в этой форме.
Sending Access-Accept of id 12 to xxx.xxx.xxx.xxx port 6103
Tunnel-Private-Group-Id:0 = "vlan_name"
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Type:0 = VLAN
MS-MPPE-Recv-Key = 0xd899b158c44adb59894a8ad4c7554010571fffe1c3ef87f74db910c482c2be82
MS-MPPE-Send-Key = 0xe094d1c3e2fb5d5153963089c533278338d655284858156b0fb2e78e72ab7060
EAP-Message = 0x03320004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "username"
Я добавил атрибуты туннеля в свой каталог LDAP и, как и предыдущее сообщение отладки freeradius, показывает, что он хранится в пакете radius.
Я прочитал бесчисленное количество потоков, в которых вы должны добавить «use_tunneled_reply = yes» в свой файл eap.conf, что я сделал, как показано ниже:
eap {
use_tunneled_reply = yes
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
pem_file_type = yes
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
CA_path = ${cadir}
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
cache {
enable = no
max_entries = 255
}
verify {
}
}
ttls {
virtual_server = "inner-tunnel"
}
peap {
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}
Что касается конфигурации переключателя для интерфейса:
encrypted radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 0 key "some hash"== priority 1 usg-type 802.1x
aaa authentication enable default radius
dot1x system-auth-control
vlan 50
name "vlan_name"
interface gi1
switchport mode access
dot1x port-control auto
spanning-tree portfast
Коммутатор vlan получает свой dhcp от fortigate, где также создаются vlan.
У меня это работает только до того момента, когда я установил статические порты доступа.
У меня закончились варианты и форумы, чтобы просмотреть на этом этапе.
Был бы рад, если бы кто-нибудь подтолкнул меня в правильном направлении. Даже не уверен, стоит ли искать проблему на стороне свободного радиуса или на стороне переключателя.
Если вам нужно больше файлов или журналов, просто ткните меня.
с уважением