Нюансы авторизации через Radius

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

Нюансы авторизации через Radius

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Нюансы авторизации через Radius
Нюансы авторизации через Radius
2017-12-09 20:07:01
Коллеги, подскажите, pls, такую интересную вещь:

Если я использую одиночную, потолочную точку доступа типа EAP-2xx, то она все равно может поднять целую кучу SSID'ов, привязанных к разным VLAN'ам.
Если авторизация настроена через сервер Radius, то как ТД будет разбираться, какого пользователя в какой SSID, и соответственно VLAN пускать?

Например, у меня три SSID - "OFFICE", "HOME" и "ADMINS". Один приделан к VLAN'у конторы, второй - жилого второго этажа, третий - для сисадминов, имеет доступ ко всем консолям и управляющим портам.

Скажим, шибко ушлый пионэр, зная свои login и пароль для SSID "HOME", может применить их коннектясь к SSID "ADMINS". И если в схеме нет какого-то уточняющего атрибута, он расчудесно получит свой "Access-Accept" от сервера, и вломится в VLAN, в который его не звали.

Как правильно разрешается эта ситуация?

Ogogon.
  0      
  0      
#1
Опции
5 Ответить
Re: Нюансы авторизации через Radius
2017-12-11 16:20:47
Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.
А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.
  0  
  0  
#1
Опции
Re: Нюансы авторизации через Radius
2017-12-11 18:55:48
[quote="Ame"]Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.[/quote]
Гм... Прощу прощения, возможно я что-то не понимаю, но все же, по моему мнению, топология тут не принципиальна. Один коммутатор образует опорную сеть, пять или двести, не должно влиять не обсуждаемый вопрос...

Что же касается настроек, то я имел в виду сугубо азбучные, без каких-либо извращенных новаций.

На всех коммутаторах сети поддерживается одинаковое количество одинаково маркированных (tagged) VLAN'ов. Все пользователи подключены к размаркирующим (untagged) портам, имеющим доступ к административно заданным наборам VLAN'ов. Все коммутаторы связаны между собой транковыми (tagged) портами. Все серверы, маршрутизаторы и наш друг EAP-2xx тоже подключены к транковым портам и маркируют-демаркируют VLAN'ы самостоятельно, поскольку обучены и пользуются доверием.

Что касается Radius-сервера, то это образцово-показательный FreeRADIUS во всей своей красе. Настроенный принимать запрос на доступ и или разрешать, или нет. Чтобы настроить его сложнее, нужно знать, что требуется охватить более тонкими настройками. Пока это мне не известно.
К сожалению, отдельного документа по работе EAP-2xx с сервером Raduis я не нашел. Или не знаю, где искать...
[quote="Ame"]А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.[/quote] Потому, что этих пользователей тоже нужно авторизовывать.

К сожалению, я не совсем понял, что вы имеете в виду под отдельным типом авторизации и для чего он нужен. Пожалуйста, уточните технический смысл этого...

Ogogon.
  0  
  0  
#1
Опции
Re: Нюансы авторизации через Radius
2017-12-12 12:48:43
Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.
  0  
  0  
#1
Опции
Re: Нюансы авторизации через Radius
2017-12-12 12:55:56
[quote="reaper"]Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.[/quote] "— Грустно, девицы,— ледяным голосом сказал Остап."

Ogogon.
  0  
  0  
#1
Опции
Re: Нюансы авторизации через Radius
2018-07-12 07:21:28
[quote=ogogon post_id=61666 time=1512850021 user_id=50257] Как правильно разрешается эта ситуация? [/quote] Для этого ни Accounting ни dynamic vlan assignment не нужно
В radius сервер, в запросе от точки приходит SSID на который хочет прицепится клиент. Соответственно и правило в radius можно написать с учетом SSID.

Вопрос к техподдержке, с последнего сообщения в этой теме прошло много времени, появилось ли dynamic vlan assignment ? создавать кучу ssid при живом radius, честно говоря моветон.
  0  
  0  
#1
Опции