В общем ситуация вкратце.
Поставленая задача: настроить 802.1x на freeradius для аутеньтификации поьзователей, которые втыкаются в сеть через Cisco switch 3560G.
Настроил freeradius на Ubuntu 8.10 сервере, samba работает нормально. Freeradius работает по peap/mschapv2.

Пишу тут потому что думаю что проблемма возникает либо у клиента и свича либо у сервера и свича.

Пользователь в AD находится и аутеньтификация проходит с самого radius сервера.
:~$ radtest ADuser pass localhost 0 testing123

Sending Access-Request of id 227 to 127.0.0.1 port 1812
    User-Name = "ADuser"
    User-Password = "pass"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=227, length=20

Содержание /etc/freeradius/clients.conf, то что я менял

# Cisco switch 3560G

client 10.77.10.248 {
        secret = password
        nastype = cisco
        shortname = 10.77.10.248
}
# Network to activate access control

client 10.77.10.0/24 {
        secret = password
        shortname = inside
}

Содержание /etc/freeradius/eap.conf (то что посчитал нужным включить)

default_eap_type = peap

  tls {

                        confdir = /etc/freeradius
                        certdir = ${confdir}/certs
                        cadir = ${confdir}/certs
                        private_key_password = whatever
                        private_key_file = ${certdir}/cert-srv.pem
                        certificate_file = ${certdir}/cert-srv.pem
                        CA_file = ${cadir}/root.pem                      
                        dh_file = ${certdir}/dh
                        # random_file = ${certdir}/random
                        random_file = /dev/urandom
                      peap {
                        default_eap_type = mschapv2                  
                        copy_request_to_tunnel = no
                        use_tunneled_reply = no
                        
     virtual_server = "inner-tunnel"
                }
            
                mschapv2 {
                }
        }

Содержание /etc/freeradius/modules/mschap

mschap {

        with_ntdomain_hack = yes

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{mschap:NT-Domain:MYDOMAIN} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"

}

Конфигурация Cisco Switch 3560G:

# show run
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
!
dot1x system-auth-control
!
interface GigabitEthernet0/30
switchport mode access
authentication event no-response action authorize vlan 30
authentication port-control auto
dot1x pae authenticator
!
interface Vlan1
ip address 10.77.10.248 255.255.255.0
!
radius-server host 10.77.10.203 auth-port 1812 acct-port 1813 timeout 3
radius-server key password

#show version

BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)
System image file is "flash:c3560-ipbase-mz.122-50.SE1.bin"

#show authentication sessions
Interface  MAC Address     Method   Domain   Status         Session ID
Gi0/30     0022.645c.adas  dot1x    UNKNOWN  Running        0A4D0AF80000008C4891B752

#show radius server-group all
Sever group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
    Server(10.77.10.203:1812,1813) Transactions:
    Authen: Not Available    Author:Not Available    Acct:Not Available

Дебаги не показывают ничего почему то.

Radius protocol debugging is on
Radius packet protocol (authentication) debugging is on
Radius packet retransmission debugging is on
dot1x:
  Dot1x registry info debugging is on
  Dot1x redundancy info debugging is on
  Dot1x packet info debugging is on
  Dot1x events debugging is on
  Dot1x State machine transitions and actions debugging is on
  Dot1x Errors debugging is on
  Dot1x Supplicant EAP-FAST debugging is on
  Dot1x Manager debugging is on
  Dot1x Supplicant State Machine debugging is on

Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё надо, пишите, выложу!

• Cisco Свич + FreeRadius + XP клиенты,enter, 17:53 , 24-Июн-09
  • Cisco Свич + FreeRadius + XP клиенты,pavelbash, 09:16 , 25-Июн-09
    • Cisco Свич + FreeRadius + XP клиенты,pavelbash, 12:24 , 29-Июн-09
      • Cisco Свич + FreeRadius + XP клиенты,pavelbash, 16:06 , 02-Июл-09
        • Cisco Свич + FreeRadius + XP клиенты,ПИнеу, 21:35 , 07-Июл-09
          • Cisco Свич + FreeRadius + XP клиенты,pavelbash, 15:35 , 08-Июл-09

>
>Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё
>надо, пишите, выложу!

В конфиге не видно строки
  aaa new-model

она есть?

>>
>>Облазил инет, путного ничего не нашёл. Помогите плз. Спасибо! Если что ещё
>>надо, пишите, выложу!
>
>В конфиге не видно строки
>  aaa new-model
>
>она есть?

Switch-Serv#show running-config | include new
aaa new-model

Строка есть. Больше всего смущает вот это:

Switch-Serv#show radius server-group all
Sever group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1
    Server(10.77.10.203:1812,1813) Transactions:
    Authen: Not Available    Author:Not Available    Acct:Not Available

Говорит что аутентификация не доступна.. У кого есть циска свич с фрирадиусом, так и должно быть?

Со стороны клиента смущает Domain UNKNOWN:

#show authentication sessions
Interface  MAC Address     Method   Domain   Status         Session ID
Gi0/30     0022.645c.adas  dot1x    UNKNOWN  Running        0A4D0AF80000008C4891B752

Обновление:

Тест с циски на фрирадиус проходит.

switch_it# test aaa group radius ADuser pass port 1812 new-code
User successfully authenticated

Дебаг udp порта на фрирадиусе в момент тестирования:

pbashurin@Pitbull:~$ sudo tcpdump -n -i eth1 udp and port 1812
[sudo] password for ADuser:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
04:18:00.645305 IP 10.77.10.253.1645 > 10.77.10.203.1812: RADIUS, Access Request (1), id: 0x4d length: 55
04:18:00.645460 IP 10.77.10.203.1812 > 10.77.10.253.1645: RADIUS, Access Accept (2), id: 0x4d length: 20

Когда тестирую с компа XP SP2 говрит что аутентификацию пользователь не проходит. Дебаг порта на фрирадиусе при этом молчит. Видимо по каким то причинам 3560G свич не пересылает запрос на фрирадиус. То же самое проверил с моделью 2960 IOS c2960-lanbase-mz.122-35.SE5

Видимо проблемма в натройках свичей. В чем дело понять пока не могу. Чесно говоря ожидал что настройка циски будет самым лёгким этапом в настройке проводного 802.1x...

>[оверквотинг удален]
>так и должно быть?
>
>Со стороны клиента смущает Domain UNKNOWN:
>
>#show authentication sessions
>Interface  MAC Address     Method   Domain
>  Status        
>Session ID
>Gi0/30     0022.645c.adas  dot1x    UNKNOWN
> Running        0A4D0AF80000008C4891B752

Победа!

Всё заработало. Дело было в клиенте, видимо Windows XP SP2 на ноутах HP по какой то причине не отсылал EAP запросы на свич несмотря на настройки и изменения в реестре. На рабочей станции всё заработало без проблемм. Пришлось только сделать acl на чтение и выполнение /usr/run/samba/winbind_priveleged для юзера freerad чтобы заработал EAP/TLS.

>[оверквотинг удален]
>>так и должно быть?
>>
>>Со стороны клиента смущает Domain UNKNOWN:
>>
>>#show authentication sessions
>>Interface  MAC Address     Method   Domain
>>  Status        
>>Session ID
>>Gi0/30     0022.645c.adas  dot1x    UNKNOWN
>> Running        0A4D0AF80000008C4891B752

>Победа!
>

а STP на портах коммутатора в каком режиме? - portfast включен?

Нет, не включён. А надо бы попробовать для ускорения процесса. Спасибо:)

Portfast Default             is disabled
PortFast BPDU Guard Default  is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled

>>Победа!
>>
>
>а STP на портах коммутатора в каком режиме? - portfast включен?