Freeradius - Switch auth Ldap auth-on keresztül - Service-Type hogyan???

 ( ralphy | 2016. október 26., szerda - 18:37 )

Sziasztok,

Van egy Samba alapú domain kontroller, és ugyanazon szerveren kapott szerepkört a Freeradius is.
Freeradius Ldap lekérdezés alapján a Samba domain kontrollertől megkapja a csoportot, mely tagjait szeretném beengedni a switchek konfigurációs felületére, ssh-n. Ez idáig működik is minden, de a switchek nem egyformák, HP Procureve 2600,210,2650, és HP A5120EI (Comware szoftver) és míg az első háromnál lehetséges enable - val tovább authentikálni, az utóbbi switch csak egy csökkentett parancs számmal ellátott felületre enged be (ssh)
Úgy gondolom a Radius szervernek vissza kellene adni megfelelő paramétereket a switchnek - Service-Type értéket, de ezt nem tudom hol lehet és kell megadni, és ha meg is adom, hogy tudom eltérő switchekre másként paraméterezni.
Az még egyszer megerősíteném, hogy maga az LDAP lekérdezés rendben van ... és a mellékelt konfigurációval olyan szintem működik, hogy beléphetek a switchre, de már nem tudok system-view és enable mósba kerülni ....

Az alábbi konfigjaim vannak:

/etc/freeradius/clients.conf
client localhost {
ipaddr = 127.0.0.1
secret = secretkey
nastype = other
}

client 10.1.0.0/16 {
secret = secretkey
nastype = other
}

/etc/freeradius/users

DEFAULT Ldap-Group == "CN=NETADMIN,OU=Csoportok,OU=akarmi,DC=akarmi2,DC=hu"
DEFAULT Auth-Type := Reject

Én úgy gondolom talán ezen két konfig file tartalma lehet meghatározó, de hogyan tudnám eszközönként külön és hol paraméterezni, hogy megkapja switch válaszként a megfelelő Service-Type értéket???

Előre is köszi az építő jellegű ötleteket