Utilizzo di RADIUS per limitare SSID su Cisco Aironet

10

Vorrei utilizzare il mio server RADIUS per limitare l'accesso al SSID configurato in base all'utente .

Secondo la documentazione collegata sopra, aggiungo il seguente attributo a un utente test:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Quindi, abilitando l' autenticazione del raggio di debug , vedo:

12 giu 08: 30: 08.266: RADIUS (00001A96): Invia richiesta di accesso a 212.183.164.38:1812 id 1645/128, len 177
12 giu 08: 30: 08.266: RADIO: autenticatore CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 giu 08: 30: 08.267: RADIUS: User-Name [1] 12 "ospite-5vh"
12 giu 08: 30: 08.267: RADIUS: Framed-MTU [12] 6 1400                      
12 giu 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 giu 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 giu 08: 30: 08.267: RADIUS: Vendor, Cisco [26] 29  
12 giu 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 giu 08: 30: 08.267: RADIUS: Service-Type [6] 6 Login [1]
12 giu 08: 30: 08.267: RADIUS: Message-Authenticato [80] 18  
12 giu 08: 30: 08.267: RAGGIO: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 giu 08: 30: 08.267: RADIUS: messaggio EAP [79] 17  
12 giu 08: 30: 08.267: RADIO: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 giu 08: 30: 08.267: RADIUS: NAS-Port-Type [61] 6 802.11 wireless [19]
12 giu 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037                      
12 giu 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 giu 08: 30: 08.268: RADIUS: NAS-IP-Address [4] 6 10.132.0.253              
12 giu 08: 30: 08.268: RADIUS: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 giu 08: 30: 08.325: RADIUS: ricevuto dall'ID 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 giu 08: 30: 08.325: RADIO: autenticatore 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 giu 08: 30: 08.325: RADIUS: Vendor, Cisco [26] 31  
12 giu 08: 30: 08.325: RADIUS: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 giugno 08: 30: 08.325: RADIUS: messaggio EAP [79] 8   
12 giu 08: 30: 08.325: RAGGIO: 01 02 00 06 19 20 [????? ]
12 giu 08: 30: 08.325: RADIUS: Message-Authenticato [80] 18  
12 giu 08: 30: 08.325: RAGGIO: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 giu 08: 30: 08.326: RADIUS: State [24] 18  
12 giu 08: 30: 08.326: RAGGIO: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 giugno 08: 30: 08.326: RADIUS (00001A96): ricevuto dall'ID 1645/128

Quindi mi aspetto che la richiesta venga rifiutata poiché l '"associazione SSID" non corrisponde a quella RADIUS, ma viene riconosciuta e l'utente si connette.

Seguono le configurazioni rilevanti:

raggio di default del gruppo login autenticazione aaa
autenticazione aaa login raggio gruppo eap_methods
rete di autorizzazione aaa predefinita se autenticata 
aaa contabilità nidificata
aaa aggiornamento periodico contabile 5
aaa rete contabile eap_methods raggio gruppo start-stop
!
dot11 ssid Interactive
   vlan 1
   autenticazione aperta 
   gestione chiavi di autenticazione wpa
   mbssid guest-mode
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   autenticazione aperta 
   gestione chiavi di autenticazione wpa
   mbssid guest-mode
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   autenticazione open eap eap_methods 
   autenticazione network-eap eap_methods 
   gestione chiavi di autenticazione versione wpa 2
   eap_methods di contabilità
   mbssid guest-mode
!
interfaccia Dot11Radio0
 nessun indirizzo IP
 nessuna ip route-cache
 crittografia vlan 4 modalità cifrature aes-ccm tkip 
 crittografia vlan 1 modalità cifratura aes-ccm tkip 
 crittografia vlan 5 modalità cifrature aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 guadagno dell'antenna 0
 MBSSID
 nessun tempo di slot corto
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 canale 2457
 root di ruolo di stazione
!
interfaccia Dot11Radio0.1
 descrizione LAN Interactive
 incapsulamento dot1Q 1 nativo
 nessuna ip route-cache
 ponte-gruppo 1
 bridge-group 1 abbonato-loop-control
 bridge-group 1 blocco-unknown-source
 nessun apprendimento di sorgenti del gruppo di bridge 1
 nessuna inondazione unicast del gruppo di ponti 1
 spanning-group 1 disabilitato
!
interfaccia Dot11Radio0.4
 descrizione LAN Ospiti
 punto di incapsulamento 1Q 4
 nessuna ip route-cache
 ponte-gruppo 4
 bridge-group 4 sottoscrittore-controllo-loop
 bridge-group 4 block-unknown-source
 nessun apprendimento di sorgenti di gruppi di gruppi 4
 nessuna inondazione unicast del gruppo di ponti 4
 spanning-group 4 disabilitato
!
interfaccia Dot11Radio0.5
 descrizione LAN Test
 punto di incapsulamento 1Q 5
 nessuna ip route-cache
 ponte-gruppo 5
 bridge-group 5 sottoscrittore-controllo-loop
 bridge-group 5 block-unknown-source
 nessun apprendimento delle fonti del gruppo di bridge 5
 nessuna inondazione unicast del gruppo di ponti 5
 spanning-group 5 disabilitato
!
attributo radius-server 32 formato include-in-access-req% h
attributo radius-server 4 10.132.0.253
host radius-server 10.132.0.99 chiave auth-port 1812 acct-port 1813 non standard 7 131312061E3811242A142A7C79
radius-server vsa invia contabilità
radius-server vsa invia autenticazione

Ed ecco l'output di # show versione

Software Cisco IOS, software C1040 (C1140-K9W7-M), versione 12.4 (25d) JA1, SOFTWARE DI RILASCIO (fc1)
Supporto tecnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 di Cisco Systems, Inc.
Compilato gio 11-ago-11 02:58 da prod_rel_team

ROM: il programma Bootstrap è il caricatore di avvio C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Versione 12.4 (23c) JA3, SOFTWARE DI RILASCIO (fc1)

L'uptime di UFFICIO-AP1 è di 8 settimane, 2 giorni, 8 ore, 27 minuti
Il sistema è tornato alla ROM all'accensione
Sistema riavviato alle 22:39:10 UTC mar 16 aprile 2013
Il file di immagine del sistema è "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Qualcuno può aiutare?

cisco  wireless  aironet  radius 
Marco Marzetti
fonte
2
Stai utilizzando ACS o qualche altro server RADIUS?
Dave Noonan,
Sto usando FreeRADIUS con il backend MySQL
Marco Marzetti il
@MarcoMarzetti, potresti aggiungere non-standardalla radius-server hostlinea e farmi sapere se questo cambia i risultati che stai ottenendo? Potrebbe essere necessario inserire la key 7dichiarazione da sola su una riga diversa affinché funzioni.
Mike Pennington,
@MikePennington fatto, ma nulla è cambiato. BTW ho ottenuto questo errore quando ho cambiato il valore a "SSID = Interactive_Ospiti": parse unknown cisco vsa "SSID" - IGNORE. Quindi IOS comprende l'attributo e cerca di analizzarlo.
Marco Marzetti,
A cosa serve la tua configurazione interface Dot11Radio?
generalnetworkerror

Risposte:

1

Prova a cambiare l'operatore nella configurazione freeradius in "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

Santino
fonte
non credo che questo possa essere d'aiuto poiché "= ~" è per i confronti e voglio un incarico. Nota che il controllo SSID dovrebbe essere eseguito da IOS e non da FreeRADIUS.
Marco Marzetti,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.