Нюансы авторизации через Radius
Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Нюансы авторизации через Radius
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
2017-12-09 20:07:01
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
Нюансы авторизации через Radius
2017-12-09 20:07:01
Теги:
Если я использую одиночную, потолочную точку доступа типа EAP-2xx, то она все равно может поднять целую кучу SSID'ов, привязанных к разным VLAN'ам.
Если авторизация настроена через сервер Radius, то как ТД будет разбираться, какого пользователя в какой SSID, и соответственно VLAN пускать?
Например, у меня три SSID - "OFFICE", "HOME" и "ADMINS". Один приделан к VLAN'у конторы, второй - жилого второго этажа, третий - для сисадминов, имеет доступ ко всем консолям и управляющим портам.
Скажим, шибко ушлый пионэр, зная свои login и пароль для SSID "HOME", может применить их коннектясь к SSID "ADMINS". И если в схеме нет какого-то уточняющего атрибута, он расчудесно получит свой "Access-Accept" от сервера, и вломится в VLAN, в который его не звали.
Как правильно разрешается эта ситуация?
Ogogon.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Подписаться
- Добавить в закладки
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
5 Ответить
Посты: 1123
Полезный: 37
Решения: 12
Истории: 0
Дата регистрации: 2014-04-07
Re: Нюансы авторизации через Radius
2017-12-11 16:20:47
Вы можете более подробно описать топологию сети.
А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
Re: Нюансы авторизации через Radius
2017-12-11 18:55:48
[quote="Ame"]Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.Гм... Прощу прощения, возможно я что-то не понимаю, но все же, по моему мнению, топология тут не принципиальна. Один коммутатор образует опорную сеть, пять или двести, не должно влиять не обсуждаемый вопрос...
Вы можете более подробно описать топологию сети.[/quote]
Что же касается настроек, то я имел в виду сугубо азбучные, без каких-либо извращенных новаций.
На всех коммутаторах сети поддерживается одинаковое количество одинаково маркированных (tagged) VLAN'ов. Все пользователи подключены к размаркирующим (untagged) портам, имеющим доступ к административно заданным наборам VLAN'ов. Все коммутаторы связаны между собой транковыми (tagged) портами. Все серверы, маршрутизаторы и наш друг EAP-2xx тоже подключены к транковым портам и маркируют-демаркируют VLAN'ы самостоятельно, поскольку обучены и пользуются доверием.
Что касается Radius-сервера, то это образцово-показательный FreeRADIUS во всей своей красе. Настроенный принимать запрос на доступ и или разрешать, или нет. Чтобы настроить его сложнее, нужно знать, что требуется охватить более тонкими настройками. Пока это мне не известно.
К сожалению, отдельного документа по работе EAP-2xx с сервером Raduis я не нашел. Или не знаю, где искать...
[quote="Ame"]А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.[/quote]Потому, что этих пользователей тоже нужно авторизовывать.
К сожалению, я не совсем понял, что вы имеете в виду под отдельным типом авторизации и для чего он нужен. Пожалуйста, уточните технический смысл этого...
Ogogon.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 965
Полезный: 42
Решения: 8
Истории: 0
Дата регистрации: 2017-06-03
Re: Нюансы авторизации через Radius
2017-12-12 12:48:43
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
Re: Нюансы авторизации через Radius
2017-12-12 12:55:56
[quote="reaper"]Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.[/quote]"— Грустно, девицы,— ледяным голосом сказал Остап."
Ogogon.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 1
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2018-07-12
Re: Нюансы авторизации через Radius
2018-07-12 07:21:28
[quote=ogogon post_id=61666 time=1512850021 user_id=50257] Как правильно разрешается эта ситуация? [/quote]Для этого ни Accounting ни dynamic vlan assignment не нужно
В radius сервер, в запросе от точки приходит SSID на который хочет прицепится клиент. Соответственно и правило в radius можно написать с учетом SSID.
Вопрос к техподдержке, с последнего сообщения в этой теме прошло много времени, появилось ли dynamic vlan assignment ? создавать кучу ssid при живом radius, честно говоря моветон.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
2017-12-09 20:07:01
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2017-12-08
Информация
Поблагодарили: 0
Просмотры: 2106
Ответы: 5
Избиратели 0
За него еще никто не проголосовал.
Теги
Пожаловаться на неуместный контент
Модуль переноса
Новое сообщение