Sziasztok!
pfSense-en szeretnék freeradius hitelesítést beállítani úgy, hogy csak felhasználónév, jelszó és MAC címet ellenőrizzen és ne kelljen a gépekre tanusítványt telepíteni. Ez Ubuntu alatt jelenleg működik is.
pfSense-nél eljutottam odáig, hogy PEAP-al simán tudok csatlakozni felhasználónév és jelszó segítségével. Azonban ha a felhasználónál megadom a MAC címet is, akkor nem enged be. Sajnos nem találom a hibát. Ubuntu alatt freeradius -X-el lehetett verbose módban futtatni a rendszert, és pontosan láttam, milyen adatokat kap a szerver. pfSense alatt viszont nem tudom, hogy esetleg a MAC address formátummal lehet-e a gond.
A User fájl jelenleg így néz ki, Ubuntu alatt így jó is:
"testuser" Cleartext-Password := "testpassword", Calling-Station-Id == "24-77-03-8C-40-C4"
Valaki használja-e esetleg ilyen módon? Mi lehet a probléma? A freeradius 3-at telepítettem.
- 798 megtekintés
Hozzászólások
Csak egy tipp, biztosan jó a MAC formátuma, ilyet várna a klienstől.? És a kliensektől ilyen formátumot is kap.?
--
God bless you, Captain Hindsight..
- A hozzászóláshoz be kell jelentkezni
Elvileg igen, de próbáltam kisbetűvel, nagybetűvel, kötőjelek nélkül.
A Polyci-ben a calling-station-id-nél úgy van megadva, hogy kisbetűkre konvertálja és kötőjelekkel elválasztva.
- A hozzászóláshoz be kell jelentkezni
Úgy tudom, hogy a macauth előbb történik meg, mint a második / többi azonosítás.
Ha csak úgy állítod akkor történik valami.? Log-okban van valami okosság.?
(amúgy nálam a testuser nincs kötőjelek között)
--
God bless you, Captain Hindsight..
- A hozzászóláshoz be kell jelentkezni
Elvileg ez alapján ellenőrzi a MAC címet:
mac-addr-regexp = ([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})
rewrite_calling_station_id {
if (&Calling-Station-Id && (&Calling-Station-Id =~ /^%{policy.mac-addr-regexp}$/i)) {
update request {
&Calling-Station-Id := "%{toupper:%{1}-%{2}-%{3}-%{4}-%{5}-%{6}}"
}
updated
}
else {
noop
}
}
- A hozzászóláshoz be kell jelentkezni
Igen, ez átírja szépen és kötőjelezi
--
God bless you, Captain Hindsight..
- A hozzászóláshoz be kell jelentkezni
Basszus. Úgy néz ki nem próbáltam ki minden variációt. Csak a felvetésedre újra kipróbáltam pár variációt, és ha a pfSense-ben kisbetűkkel egybe kötőjelek nélkül adom meg a MAC addrest akkor működik.
Nem értem miért, hisz elvileg kötőjelekkel kérné, de megy.
Köszönöm a segítséget.
- A hozzászóláshoz be kell jelentkezni
Valami hasonló blőd hülyeségre emlékeztem nagyon régről, hogy már én is minden józan észnek ellentmondó variánst kipróbáltam..
A lényeg hogy megy..
--
God bless you, Captain Hindsight..
- A hozzászóláshoz be kell jelentkezni