Sziasztok!
Lentebb már kérdeztem, hogyan tudnék MAC address szűrést rakni Ubiquiti Unifi eszközre. Elkezdtem a freeradius tanulmányozását.
Egyenlőre ott tartok, hogy sikerült leírás alapján úgy bekonfigurálnom egy alap freeradius szervert, hogy a user fájlban lévő felhasználónév és jelszó segítségével lehet csatlakozni a wifihez. PEAP hitelesítést használva. Így az eszközökre nem kell tanúsítványt telepíteni Ezt kellene tovább bővíteni azzal, hogy a MAC addresst is ellenőrizze.
Lehetséges úgy beállítani a freeradiust, hogy hitelesítsen felhasználónév, jelszó és MAC address hármassal? Később esetleg úgy, hogy a felhasználónevet és jelszót Active Directory-ból vegye?
MAC address szűrés mindenképpen kell, az igazgatót nem lehet lebeszélni róla, mert szerinte az úgy is kikerül a diákok kezébe. Emiatt addig nem is engedi az eszközt élesíteni, amíg a MAC szűrés nincs meg. MAC szűréshez nem találtam egyértelmű leírást, ezért kezdtem el először egy alap felhasználónév jelszó hitelesítést összerakni. Hogy ne csak MAC szűrés legyen, ezért gondoltam, hogy meghagyom a felhasználónév jelszó hitelesítést is mellé, ha lehet.
Előre is köszönöm a segítséget.
Hozzászólások
Nekem ezzel a párossal megy éppen... http://wiki.freeradius.org/guide/Mac-Auth
God bless you, Captain Hindsight..
Ebből te melyik alapján állítottad be? Itt van 6 lehetőség.
Próbálkoztam a Plain MAC-Auth beállításával a leírás alapján. Viszont ebben az esetben milyen felhasználónév, jelszót kell megadni? mert ha nem adok meg semmit, azt írja Hitelesítési hiba. Valamint ha az eap-ot alapértelmezetten hagyom, akkor nem kell tanúsítvány az eszközökre?
A Mac-Auth és 802.1x együttesen van, PEAP és MSCHAP2 és OpenLDAP-ból autentikál.. Csak azzal kellett szívnom, hogy a mac formátuma nem xx:xx:xx:xx:xx:xx volt, hanem xx-xx-xx-xx-xx-xx, szóval kötőjeles..
God bless you, Captain Hindsight..
Oké köszi, holnap szórakozok még vele, remélhetőleg sikerül. Ha nem, akkor majd még kérdezek :)
Nos a helyzet a következő. Két helyen is kísérletezek, otthon és a munkahelyen.
Otthon http://www.linuxlasse.net/linux/howtos/Freeradius_EAP-PEAP_(TLS) ez a leírás alapján megy, hogy a users fájlban lévő felhasználónév jelszó párossal tudja hitelesíteni az eszközöket a wifi. Ehhez jönne még hozzá http://wiki.freeradius.org/guide/Mac-Auth#Plain-Mac-Auth ez a leírás alapján a Mac-Auth and 802.1x Tegnap ezt meg is csináltam, de valamiért nem veszi figyelembe a MAC címeket, beenged minden eszközt, amin megadom a felhasználónevet és jelszót.
A munkahelyemen Active Directory-ból való hitelesítést próbálok beállítani, amit majd aztán összekötök a Mac-Auth and 802.1x beállítással. Itt odáig jutottam egy leírás alapján, hogy a Linux csatlakoztatva van a tartományhoz, és az ntlm_auth tudja hitelesíteni a felhasználókat. Ezután http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integratio… ez a leírás alapján próbáltam összekötni az AD hitelesítést a freeradius-al, de nem működik. Ami a users fájlba van írva felhasználó, azzal hitelesít, de AD-ben lévő felhasználóval nem.
Nos az AD hitelesítés mellé is beállítottam a MAC autentikációt. A következő a probléma:
Ha AD-s felhasználóval akarok hitelesíteni, a log a következő hibát írja:
Miután http://wiki.freeradius.org/guide/Mac-Auth#Plain-Mac-Auth a leírás alapján beállítottam mellé a MAC autentikációt is, a freeradius újraindításakor a következő hibaüzenet került a log-ba:
A default fájlt a következő linken elérhető: https://dl.dropboxusercontent.com/u/1464483/freeradius/sites-available/…
Mik lehetnek a problémák?
Tekerd fel a logot, esetleg inditsd a radiust foreground-ba.
Kapcsold be a jo es rossz jelszo logolasat is, az segit.
Ugye a "files"-fájlban benne van az "authorized_macs".. Rewrite-modul be van töltve.? A policy.conf hogynéz ki.?
God bless you, Captain Hindsight..
Persze a files-ben benne van az authorized_macs. A policy.confba is beállítottam amit a leírás ír. A rewrite modul nem tudom, hogy be van-e töltve, azt hogyan tudom ellenőrizni? A hétvégén otthon telepítek virtuális gépre egy Win 2008-at, hogy otthon is tudjak az AD-s hitelesítéssel kísérletezni. Ha az összejött, akkor utána próbálkozok tovább a MAC autentikációval.
Az AD hitelesítéssel is tovább jutottam, csak most újabb hibát ír, amihez még nem találtam meg a megoldást:
Valamint a logban mindíg bekerül a következő hiba:
Hát ez egyszerűen nem megy. Itthoni kísérlethez telepítettem egy Active Directoryt ugyan azokkal a beállításokkal mint a munkahelyen.
Ubuntun a csatlakozás megy, az ntlm_auth hitelesíti a felhasználót.
A freeradiust ppa tárolóból telepítettem ppa:freeradiu/stable-3.0
Két leírást használtam:
https://docs.google.com/document/d/14LnsBznOw0w2fR7xgBJhzyWp1OztlKO6D5f…
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integratio…
Ezek alapján állítottam be a freeradiust. Ha be akarok lépni Android telóról a következő hibákat adja:
EAP módszer: PEAP
Phase 2 hitelesítés: MSCHAPV2
Felhasználónév kisspepe
Hiba:
Felhasználónév: pg.local\kisspepe
Hiba: [code]mschape:Program returned code (1) and output 'Reading winbind reply failed! (0x0000001)
A freeradius -X kimenete az alábbi linkről letölthető:
https://dl.dropboxusercontent.com/u/1464483/radiusconfig
Jelenleg ott tartok, hogy az Active Directory hitelesítés megy. A freeradius tudja hitelesíteni a felhasználót AD-n keresztül.
Csináltam két virtuális szervert a freeradius konfigban, egy tanar és egy kollegium-ot. A sites-available-ben létrehoztam a default alapján mind a kettőnek a megfelelő fájlt, valamint a files-be is létrehoztam a megfelelő bejegyzéseket, ahol megadtam a hozzájuk tartozó users fájl elérhetőségét is.
Mégis ha nem AD felhasználót adok meg, akkor nem a virtuális szerverhez tartozó users fájlt nézi meg, hanem az alap users fájlt.
Nem tudom ennek mi lehet az oka?
Most jönne majd az, hogy beállítsam a MAC address szűrést.
Meg lehet úgy oldani a MAC szűrést, hogy a két virtuális szerveren menjen a users fájlból való hitelesítés is, az AD-s hitelesítés is és emellett a MAC szűrés?
szerintem lehet fallback sorrendet is állítani, és ha AD-ban nem találja, akkor megy a következőre. (users file)
Mostmár működik az Active Directory hitelesítés freeradiusal, és mellé a két szerveren külön megy a MAC szűrés is.
Mostmár csak az a probléma, ha nem AD-ból van a felhasználó, akkor az a users fájlból veszi, és nem abból amit én megadtam az adott virtuális szervernek. Pl. a lentebbi konfigban az AP a kollegium virtuális szerverbe tartozik, és a kollegium-user-list-ből kellene vennie a felhasználót, de nem ezt teszi.
wpeople
Nem az a gondom, hogy nem megy a user fájlra. A gondom az, hogy rossz user file-ra megy. Ha az AD-ben nem találja meg a felhasználót, akkor keresi az authorize fájlban jelenleg, hogy ott benne van-e. Nekem viszont a fentebb bemásolt konfig alapján a kollegium-user-list fájlban kellene keresnie. Valamiért azonban nem ezt teszi.
feliratkozás
--
>'The time has come,' the Walrus said<
Hát a freeradius nem működik túl jól.
Én a telefonommal Android 4.3 simán tudok csatlakozni. Azonban egy csomó eszköz van, Windows 7, Windows 8, Android, IOS amik nem csatlakoznak.
Logból pár részlet
a win7 nem mukodik jol alapbol :)
at kell allitani h mivel autholjon (u+p) ne pedig gepnev vagy gepnev\user , alapbol gepnevvel es x509 akar.... nameg hogy ne validalja a certet