Uso de RADIUS para restringir SSID en Cisco Aironet

10

Me gustaría usar mi servidor RADIUS para restringir el acceso al SSID configurado por usuario .

De acuerdo con la documentación vinculada anteriormente, agrego el siguiente atributo a un usuario de prueba:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Entonces, habilitando la autenticación de radio de depuración , veo:

12 de junio 08: 30: 08.266: RADIUS (00001A96): Enviar solicitud de acceso a 212.183.164.38:1812 id 1645/128, len 177
12 de junio 08: 30: 08.266: RADIUS: autenticador CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 de junio 08: 30: 08.267: RADIO: Nombre de usuario [1] 12 "ospite-5vh"
12 de junio 08: 30: 08.267: RADIO: MTU enmarcado [12] 6 1400                      
12 de junio 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 de junio 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 de junio 08: 30: 08.267: RADIO: Proveedor, Cisco [26] 29  
12 de junio 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 de junio 08: 30: 08.267: RADIUS: Tipo de servicio [6] 6 Inicio de sesión [1]
12 de junio 08: 30: 08.267: RADIO: Mensaje-Autenticato [80] 18  
12 de junio 08: 30: 08.267: RADIO: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 de junio 08: 30: 08.267: RADIO: Mensaje EAP [79] 17  
12 de junio 08: 30: 08.267: RADIO: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 de junio 08: 30: 08.267: RADIO: NAS-Port-Type [61] 6 802.11 inalámbrico [19]
12 de junio 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037                      
12 de junio 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037"
12 de junio 08: 30: 08.268: RADIUS: NAS-IP-Address [4] 6 10.132.0.253              
12 de junio 08: 30: 08.268: RADIUS: Identificador de Nas [32] 13 "UFFICIO-AP1"
12 de junio 08: 30: 08.325: RADIUS: Recibido de la identificación 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 de junio 08: 30: 08.325: RADIO: autenticador 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 de junio 08: 30: 08.325: RADIO: Proveedor, Cisco [26] 31  
12 de junio 08: 30: 08.325: RADIO: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 de junio 08: 30: 08.325: RADIO: Mensaje EAP [79] 8   
12 de junio 08: 30: 08.325: RADIO: 01 02 00 06 19 20 [????? ]
12 de junio 08: 30: 08.325: RADIUS: Mensaje-Autenticato [80] 18  
12 de junio 08: 30: 08.325: RADIO: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 de junio 08: 30: 08.326: RADIO: Estado [24] 18  
12 de junio 08: 30: 08.326: RADIO: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 de junio 08: 30: 08.326: RADIUS (00001A96): Recibido de id 1645/128

Por lo tanto, esperaría que la solicitud sea rechazada ya que el "SSID de asociación" no coincide con el RADIUS, sino que se reconoce y el usuario se conecta.

Siguen las configuraciones relevantes:

radio de grupo predeterminado de inicio de sesión de autenticación aaa
aaa autenticación iniciar sesión eap_methods grupo radio
aaa red de autorización predeterminada si está autenticado 
aaa contabilidad anidada
aaa actualización contable periódica 5
aaa red contable eap_methods start-stop group radio
!
dot11 ssid Interactive
   vlan 1
   autenticación abierta 
   autenticación de gestión de claves wpa
   mbssid modo invitado
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   autenticación abierta 
   autenticación de gestión de claves wpa
   mbssid modo invitado
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   autenticación abierta eap eap_methods 
   autenticación network-eap eap_methods 
   autenticación key-management wpa versión 2
   métodos eap_contabilidad
   mbssid modo invitado
!
interfaz Dot11Radio0
 sin dirección ip
 no ip route-cache
 cifrado vlan 4 modos de cifrado aes-ccm tkip 
 cifrado vlan 1 modo cifrados aes-ccm tkip 
 cifrado vlan 5 modos de cifrado aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 ganancia de antena 0
 mbssid
 sin espacio de tiempo corto
 velocidad basic-1.0 basic-2.0 basic-5.5 basic-11.0
 canal 2457
 raíz de rol de estación
!
interfaz Dot11Radio0.1
 descripción LAN Interactive
 encapsulación dot1Q 1 nativo
 no ip route-cache
 puente-grupo 1
 puente-grupo 1 suscriptor-bucle-control
 puente-grupo 1 bloque-fuente-desconocida
 no puente-grupo 1 fuente de aprendizaje
 sin inundación de unidifusión del grupo de puentes 1
 bridge-group 1 spanning-disabled
!
interfaz Dot11Radio0.4
 descripción LAN Ospiti
 encapsulación dot1Q 4
 no ip route-cache
 puente-grupo 4
 bridge-group 4 subscriber-loop-control
 puente-grupo 4 bloque-fuente-desconocida
 no puente-grupo 4 fuente de aprendizaje
 sin inundación de unidifusión del grupo de puentes 4
 bridge-group 4 spanning-disabled
!
interfaz Dot11Radio0.5
 descripción LAN Test
 encapsulación dot1Q 5
 no ip route-cache
 puente-grupo 5
 puente-grupo 5 suscriptor-bucle-control
 bridge-group 5 block-unknown-source
 no puente-grupo 5 fuente de aprendizaje
 sin inundación de unidifusión del grupo 5 del puente
 bridge-group 5 spanning-disabled
!
radius-server atributo 32 incluir-en-acceso-req formato% h
atributo radius-server 4 10.132.0.253
radius-server host 10.132.0.99 auth-port 1812 acct-port 1813 clave no estándar 7 131312061E3811242A142A7C79
radius-server vsa enviar contabilidad
radius-server vsa enviar autenticación

Y aquí está la salida de # show versione

Software Cisco IOS, Software C1040 (C1140-K9W7-M), Versión 12.4 (25d) JA1, SOFTWARE DE LIBERACIÓN (fc1)
Soporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 por Cisco Systems, Inc.
Compilado jue 11-ago-11 02:58 por prod_rel_team

ROM: el programa Bootstrap es el cargador de arranque C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Versión 12.4 (23c) JA3, SOFTWARE DE LIBERACIÓN (fc1)

El tiempo de actividad de UFFICIO-AP1 es de 8 semanas, 2 días, 8 horas, 27 minutos
Sistema devuelto a ROM por encendido
El sistema se reinició a las 22:39:10 UTC del martes 16 de abril de 2013
El archivo de imagen del sistema es "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

¿Alguien puede ayudar?

Marco Marzetti
fuente
2
¿Está utilizando ACS o algún otro servidor RADIUS?
Dave Noonan
Estoy usando FreeRADIUS con MySQL backend
Marco Marzetti
@MarcoMarzetti, ¿podría agregar non-standarda la radius-server hostlínea y avisarme si esto cambia los resultados que está obteniendo? Es posible que tenga que colocar la key 7declaración por sí misma en una línea diferente para que esto funcione.
Mike Pennington
@MikePennington hecho, pero nada ha cambiado. Por cierto que tengo este error cuando cambia el valor de "SSID = Interactive_Ospiti": parse unknown cisco vsa "SSID" - IGNORE. Entonces, IOS entiende el atributo e intenta analizarlo.
Marco Marzetti
¿Para qué sirve tu configuración interface Dot11Radio?
generalnetworkerror

Respuestas:

1

Intente cambiar el operador en la configuración de freeradius a "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

Santino
fuente
no creo que esto pueda ayudar ya que "= ~" es para comparaciones y quiero una tarea. Tenga en cuenta que la verificación de SSID debe ser realizada por IOS y no por FreeRADIUS.
Marco Marzetti