Sử dụng RADIUS để hạn chế SSID trên Cisco Aironet


10

Tôi muốn sử dụng máy chủ RADIUS của mình để hạn chế quyền truy cập vào SSID được định cấu hình trên cơ sở mỗi người dùng .

Theo tài liệu được liên kết ở trên, tôi thêm thuộc tính sau vào người dùng thử:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Vì vậy, cho phép xác thực bán kính gỡ lỗi , tôi thấy:

Ngày 12 tháng 6 08: 30: 08.266: RADIUS (00001A96): Gửi yêu cầu truy cập tới số 212.183.164,38:1812 id 1645/128, len 177
Ngày 12 tháng 6 08: 30: 08.266: RADIUS: trình xác thực CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Tên người dùng [1] 12 "ospite-5vh"
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Đóng khung-MTU [12] 6 1400                      
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Gọi-Trạm-Id [31] 16 "2064.3267.44ca"
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Nhà cung cấp, Cisco [26] 29  
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Cisco AV Pair [1] 23 "ssid = Interactive_Test"
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Loại dịch vụ [6] 6 Đăng nhập [1]
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Tin nhắn EAP [79] 17  
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 không dây [19]
Ngày 12 tháng 6 08: 30: 08.267: RADIUS: Cổng NAS [5] 6 7037                      
Ngày 12 tháng 6 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
Ngày 12 tháng 6 08: 30: 08.268: RADIUS: Địa chỉ NAS-IP [4] 6 10.132.0.253              
Ngày 12 tháng 6 08: 30: 08.268: RADIUS: Định danh Nas [32] 13 "UFFICIO-AP1"
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: Đã nhận từ id 1645/128 212.183.164.38:1812, Thử thách truy cập, len 95
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: trình xác thực 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: Nhà cung cấp, Cisco [26] 31  
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: Cisco AV Pair [1] 25 "ssid = Interactive_Ospiti"
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: Tin nhắn EAP [79] 8   
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: 01 02 00 06 19 20 [????? ]
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
Ngày 12 tháng 6 08: 30: 08.325: RADIUS: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
Ngày 12 tháng 6 08: 30: 08.326: RADIUS: Bang [24] 18  
Ngày 12 tháng 6 08: 30: 08.326: RADIUS: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
Ngày 12 tháng 6 08: 30: 08.326: RADIUS (00001A96): Đã nhận từ id 1645/128

Vì vậy, tôi mong muốn yêu cầu bị từ chối vì "SSID liên kết" không khớp với RADIUS, thay vào đó nó được xác nhận và người dùng được kết nối.

Các cấu hình có liên quan theo sau:

aaa xác thực đăng nhập bán kính nhóm mặc định
aaa xác thực đăng nhập bán kính nhóm eap_methods
aaa mạng ủy quyền mặc định nếu được xác thực 
kế toán aaa lồng nhau
aaa cập nhật kế toán định kỳ 5
aaa mạng kế toán eap_methods bán kính nhóm bắt đầu dừng
!
dot11 ssid Tương tác
   v 1
   xác thực mở 
   xác thực quản lý khóa wpa
   chế độ khách mbssid
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   xác thực mở 
   xác thực quản lý khóa wpa
   chế độ khách mbssid
   wpa-psk ascii 7 15485E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   xác thực mở eap_methods 
   xác thực mạng eap eap_methods 
   xác thực quản lý khóa wpa phiên bản 2
   kế toán eap_methods
   chế độ khách mbssid
!
giao diện Dot11Radio0
 không có địa chỉ IP
 không có lộ trình ip
 mã hóa vlan 4 chế độ mật mã aes-ccm tkip 
 mã hóa vlan 1 chế độ mật mã aes-ccm tkip 
 mã hóa vlan 5 chế độ mật mã aes-ccm tkip 
 tương tác ssid
 ssid Interactive_Ospiti
 ssid Interactive_Test
 anten tăng 0
 mbssid
 không có thời gian ngắn
 tốc độ cơ bản-1.0 cơ bản-2.0 cơ bản-5.5 cơ bản-11.0
 kênh 2457
 gốc vai trò trạm
!
giao diện Dot11Radio0.1
 Mô tả LAN Tương tác
 đóng gói dot1Q 1 bản địa
 không có lộ trình ip
 cầu nhóm 1
 cầu nối nhóm 1 thuê bao-vòng kiểm soát
 cầu nhóm 1 khối không xác định nguồn
 không có cầu nối nhóm 1
 không có cầu nối nhóm 1
 cầu nhóm 1 kéo dài bị vô hiệu hóa
!
giao diện Dot11Radio0.4
 mô tả LAN Ospiti
 đóng gói dot1Q 4
 không có lộ trình ip
 cầu nhóm 4
 cầu nối nhóm 4 thuê bao-vòng kiểm soát
 cầu nhóm 4 khối không rõ nguồn
 không có cầu nối nhóm 4
 không có cầu nối nhóm 4
 nhóm 4 cầu nối bị vô hiệu hóa
!
giao diện Dot11Radio0.5
 Mô tả Kiểm tra mạng LAN
 đóng gói dot1Q 5
 không có lộ trình ip
 cầu nhóm 5
 cầu nối nhóm 5 thuê bao-vòng kiểm soát
 cầu nhóm 5 khối không rõ nguồn
 không có cầu nối nhóm 5
 không có cầu 5-unicast-lũ
 cầu nối nhóm 5 bị vô hiệu hóa
!
định dạng bán kính máy chủ 32 định dạng bao gồm trong truy cập req% h
thuộc tính bán kính máy chủ 4 10.132.0.253
bán kính máy chủ lưu trữ 10.132.0.99 auth-port 1812 acct-port 1813 khóa không chuẩn 7 131312061E3811242A142A7C79
bán kính máy chủ vsa gửi kế toán
bán kính máy chủ vsa gửi xác thực

Và đây là đầu ra của # show versione

Phần mềm Cisco IOS, Phần mềm C1040 (C1140-K9W7-M), Phiên bản 12.4 (25đ) JA1, PHẦN MỀM LIÊN QUAN (fc1)
Hỗ trợ kỹ thuật: http://www.cisco.com/techsupport
Bản quyền (c) 1986-2011 của Cisco Systems, Inc.
Được biên soạn từ ngày 11 tháng 8 đến ngày 11 tháng 2 bởi prod_rel_team

ROM: Chương trình Bootstrap là bộ tải khởi động C1040
BOOTLDR: Trình tải khởi động C1040 (C1140-BOOT-M) Phiên bản 12.4 (23c) JA3, PHẦN MỀM LIÊN QUAN (fc1)

Thời gian hoạt động của UFFICIO-AP1 là 8 tuần, 2 ngày, 8 giờ, 27 phút
Hệ thống trở lại ROM khi bật nguồn
Hệ thống được khởi động lại vào lúc 22:39:10 UTC Tue ngày 16 tháng 4 năm 2013
Tệp hình ảnh hệ thống là "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Có ai giúp được không?


2
Bạn đang sử dụng ACS hoặc một số máy chủ RADIUS khác?
Dave Noonan

Tôi đang sử dụng FreeRADIUS với phần phụ trợ của MySQL
Marco Marzetti

@MarcoMarzetti, bạn có thể thêm non-standardvào radius-server hostdòng và cho tôi biết nếu điều này thay đổi kết quả bạn nhận được không? Bạn có thể phải đặt key 7câu lệnh trên một dòng khác để nó hoạt động.
Mike Pennington

@MikePennington đã làm, nhưng không có gì thay đổi. BTW tôi đã gặp lỗi này khi tôi thay đổi giá trị thành "SSID = Interactive_Ospiti" : parse unknown cisco vsa "SSID" - IGNORE. Vì vậy, IOS hiểu thuộc tính và cố gắng phân tích nó.
Marco Marzetti

Cấu hình của bạn để làm interface Dot11Radiogì?
generalnetworkerror

Câu trả lời:


1

Hãy thử thay đổi toán tử trong cấu hình freeradius thành "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


đừng nghĩ rằng điều này có thể giúp vì "= ~" là để so sánh và tôi muốn có một bài tập. Lưu ý rằng việc kiểm tra SSID phải được thực hiện bởi IOS chứ không phải FreeRADIUS.
Marco Marzetti
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.