Freeradius LDAP és MAC szürés

 ( zamolxyse | 2019. május 3., péntek - 1:58 )

Sziasztok,
egy kis segítséget szeretnék kérni, jelenleg van egy Zentyal LDAP szerver ami tartalmazz egy radius szervert is, az felhasználók pedig ezen keresztül autentikálnak a hálózaton, minden müxik. De szeretném még kiegészíteni MAC cím authentikációval is hogy lehessen korlátozni a felcsatlakozandó eszközöket is. Próbáltam már több leírást de sajnos sikertelenül.

https://wiki.freeradius.org/guide/Mac-Auth

Előre is köszönöm ha van valakinek egy javaslata.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Jo lenne tudni hogy mit ertesz az alatt hogy ldap-on keresztul authentikalnak, pppoe kapcsolatot onnan veszi vagy captive portal wifihez vagy valami vpn vagy nem a netkapcsolathoz authentikalnak csak belso szolgaltatasokhoz?
Avagy mit akarsz elerni a mac auth-al?

Most jelenleg van egy zentyal server ami AD-ként üzemel, ennek a része a radius. Van egy unifi eszköz aminek a WIFI-je és VPN-je radiuszon keresztül authentikál, minden müködik jól.Ezt szeretném kiegésziteni MAC szüréssel hogy csak a megfelelő mac címek tudjanak kapcsolodni VPN-hez vagy Wifi-hez.

Én ezt saját "modullal" oldottam meg a freeradiushoz.

Kell egy postauth modul, ami jelszó pass után még nézi a többi paramétert, aztán ott eldöntöd, hogy jöhet-e a wifire vagy nem.

Fedora 29, Thinkpad x220

Ha jól értem ha a post auth résznél probálok MAC-et authentikálni akkor müködhet a dolog?

Én kb ennyit csináltam (remélem nem hagyok ki semmit ...)

Szóval post-auth résznél beadtam egy olyat hogy:
...
jogosultsag
...

Majd a /etc/raddb/mods-available/ csinaltam egy jogosultsag fajlt, amit linkeltem a mods-enabledbe
tartalma ez volt:

exec jogosultsag {
wait = yes
program = "/usr/local/bin/jogosultsag.sh %{User-Name} %{NAS-IP-Address} %{Called-Station-Id} %{Calling-Station-Id}"
shell_escape = yes
input_pairs = request
}

Es abban a shell scriptben van megoldva, amit szeretnek, kb ennyi.

Fedora 29, Thinkpad x220

esetleg visszaadod a check attributumban accountonkent.

Szerintem a MAC címeket belekeverni az authentikációba inkább többletmunkát ad, cserébe érdemben nem növeli a biztonságot.
Első körben 2FA, és ha ez nem elég akkor valamilyen fizetős vagy opensource NAC megoldás.

Igazából azt szerettem volna hogy csak a céges gépekről lehessen VPN-t használni, ezért lenne jó a MAC szürés.

Ha BYOD tiltása a cél akkor ez nem küszöböli, hogy a felhasználód MAC címet hamisít a saját eszközén.

Kapjon minden céges eszköz saját certet. Plusz kerüljön be a szabályzatokba, hogy saját eszköz használata mellőzendő.