В общем ситуация вкратце.
Поставленая задача: настроить 802.1x на freeradius для аутеньтификации поьзователей, которые втыкаются в сеть через Cisco switch 3560G.
Настроил freeradius на Ubuntu 8.10 сервере, samba работает нормально. Freeradius работает по peap/mschapv2.Пишу тут потому что думаю что проблемма возникает либо у клиента и свича либо у сервера и свича.
Пользователь в AD находится и аутеньтификация проходит с самого radius сервера.
:~$ radtest ADuser pass localhost 0 testing123Sending Access-Request of id 227 to 127.0.0.1 port 1812
User-Name = "ADuser"
User-Password = "pass"
NAS-IP-Address = 127.0.1.1
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=227, length=20
Содержание /etc/freeradius/clients.conf, то что я менял# Cisco switch 3560G
client 10.77.10.248 {
secret = password
nastype = cisco
shortname = 10.77.10.248
}
# Network to activate access control
client 10.77.10.0/24 {
secret = password
shortname = inside
}Содержание /etc/freeradius/eap.conf (то что посчитал нужным включить)
default_eap_type = peap
tls {confdir = /etc/freeradius
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/cert-srv.pem
certificate_file = ${certdir}/cert-srv.pem
CA_file = ${cadir}/root.pem
dh_file = ${certdir}/dh
# random_file = ${certdir}/random
random_file = /dev/urandom
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}
Содержание /etc/freeradius/modules/mschapmschap {
with_ntdomain_hack = yes
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{mschap:NT-Domain:MYDOMAIN} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
}
Конфигурация Cisco Switch 3560G:
# show run
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
!
dot1x system-auth-control
!
interface GigabitEthernet0/30
switchport mode access
authentication event no-response action authorize vlan 30
authentication port-control auto
dot1x pae authenticator
!
interface Vlan1
ip address 10.77.10.248 255.255.255.0
!
radius-server host 10.77.10.203 auth-port 1812 acct-port 1813 timeout 3
radius-server key password#show version
BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)
System image file is "flash:c3560-ipbase-mz.122-50.SE1.bin"
#show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi0/30 0022.645c.adas dot1x UNKNOWN Running 0A4D0AF80000008C4891B752
#show radius server-group all
Sever group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server(10.77.10.203:1812,1813) Transactions:
Authen: Not Available Author:Not Available Acct:Not Available
Дебаги не показывают ничего почему то.Radius protocol debugging is on
Radius packet protocol (authentication) debugging is on
Radius packet retransmission debugging is on
dot1x:
Dot1x registry info debugging is on
Dot1x redundancy info debugging is on
Dot1x packet info debugging is on
Dot1x events debugging is on
Dot1x State machine transitions and actions debugging is on
Dot1x Errors debugging is on
Dot1x Supplicant EAP-FAST debugging is on
Dot1x Manager debugging is on
Dot1x Supplicant State Machine debugging is on
Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё надо, пишите, выложу!
>
>Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё
>надо, пишите, выложу!В конфиге не видно строки
aaa new-modelона есть?
>>
>>Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё
>>надо, пишите, выложу!
>
>В конфиге не видно строки
> aaa new-model
>
>она есть?Switch-Serv#show running-config | include new
aaa new-modelСтрока есть. Больше всего смущает вот это:
Switch-Serv#show radius server-group all
Sever group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
Server(10.77.10.203:1812,1813) Transactions:
Authen: Not Available Author:Not Available Acct:Not AvailableГоворит что аутентификация не доступна.. У кого есть циска свич с фрирадиусом, так и должно быть?
Со стороны клиента смущает Domain UNKNOWN:
#show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi0/30 0022.645c.adas dot1x UNKNOWN Running 0A4D0AF80000008C4891B752
Обновление:Тест с циски на фрирадиус проходит.
switch_it# test aaa group radius ADuser pass port 1812 new-code
User successfully authenticated
Дебаг udp порта на фрирадиусе в момент тестирования:
pbashurin@Pitbull:~$ sudo tcpdump -n -i eth1 udp and port 1812
[sudo] password for ADuser:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
04:18:00.645305 IP 10.77.10.253.1645 > 10.77.10.203.1812: RADIUS, Access Request (1), id: 0x4d length: 55
04:18:00.645460 IP 10.77.10.203.1812 > 10.77.10.253.1645: RADIUS, Access Accept (2), id: 0x4d length: 20Когда тестирую с компа XP SP2 говрит что аутентификацию пользователь не проходит. Дебаг порта на фрирадиусе при этом молчит. Видимо по каким то причинам 3560G свич не пересылает запрос на фрирадиус. То же самое проверил с моделью 2960 IOS c2960-lanbase-mz.122-35.SE5
Видимо проблемма в натройках свичей. В чем дело понять пока не могу. Чесно говоря ожидал что настройка циски будет самым лёгким этапом в настройке проводного 802.1x...
>[оверквотинг удален]
>так и должно быть?
>
>Со стороны клиента смущает Domain UNKNOWN:
>
>#show authentication sessions
>Interface MAC Address Method Domain
> Status
>Session ID
>Gi0/30 0022.645c.adas dot1x UNKNOWN
> Running 0A4D0AF80000008C4891B752
Победа!Всё заработало. Дело было в клиенте, видимо Windows XP SP2 на ноутах HP по какой то причине не отсылал EAP запросы на свич несмотря на настройки и изменения в реестре. На рабочей станции всё заработало без проблемм. Пришлось только сделать acl на чтение и выполнение /usr/run/samba/winbind_priveleged для юзера freerad чтобы заработал EAP/TLS.
>[оверквотинг удален]
>>так и должно быть?
>>
>>Со стороны клиента смущает Domain UNKNOWN:
>>
>>#show authentication sessions
>>Interface MAC Address Method Domain
>> Status
>>Session ID
>>Gi0/30 0022.645c.adas dot1x UNKNOWN
>> Running 0A4D0AF80000008C4891B752
>Победа!
>а STP на портах коммутатора в каком режиме? - portfast включен?
Нет, не включён. А надо бы попробовать для ускорения процесса. Спасибо:)Portfast Default is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled>>Победа!
>>
>
>а STP на портах коммутатора в каком режиме? - portfast включен?