Me gustaría usar mi servidor RADIUS para restringir el acceso al SSID configurado por usuario .
De acuerdo con la documentación vinculada anteriormente, agrego el siguiente atributo a un usuario de prueba:
ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"
Entonces, habilitando la autenticación de radio de depuración , veo:
12 de junio 08: 30: 08.266: RADIUS (00001A96): Enviar solicitud de acceso a 212.183.164.38:1812 id 1645/128, len 177 12 de junio 08: 30: 08.266: RADIUS: autenticador CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37 12 de junio 08: 30: 08.267: RADIO: Nombre de usuario [1] 12 "ospite-5vh" 12 de junio 08: 30: 08.267: RADIO: MTU enmarcado [12] 6 1400 12 de junio 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002" 12 de junio 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca" 12 de junio 08: 30: 08.267: RADIO: Proveedor, Cisco [26] 29 12 de junio 08: 30: 08.267: RADIUS: Cisco AVpair [1] 23 "ssid = Interactive_Test" 12 de junio 08: 30: 08.267: RADIUS: Tipo de servicio [6] 6 Inicio de sesión [1] 12 de junio 08: 30: 08.267: RADIO: Mensaje-Autenticato [80] 18 12 de junio 08: 30: 08.267: RADIO: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?] 12 de junio 08: 30: 08.267: RADIO: Mensaje EAP [79] 17 12 de junio 08: 30: 08.267: RADIO: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh] 12 de junio 08: 30: 08.267: RADIO: NAS-Port-Type [61] 6 802.11 inalámbrico [19] 12 de junio 08: 30: 08.267: RADIUS: NAS-Port [5] 6 7037 12 de junio 08: 30: 08.268: RADIUS: NAS-Port-Id [87] 6 "7037" 12 de junio 08: 30: 08.268: RADIUS: NAS-IP-Address [4] 6 10.132.0.253 12 de junio 08: 30: 08.268: RADIUS: Identificador de Nas [32] 13 "UFFICIO-AP1" 12 de junio 08: 30: 08.325: RADIUS: Recibido de la identificación 1645/128 212.183.164.38:1812, Access-Challenge, len 95 12 de junio 08: 30: 08.325: RADIO: autenticador 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85 12 de junio 08: 30: 08.325: RADIO: Proveedor, Cisco [26] 31 12 de junio 08: 30: 08.325: RADIO: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti" 12 de junio 08: 30: 08.325: RADIO: Mensaje EAP [79] 8 12 de junio 08: 30: 08.325: RADIO: 01 02 00 06 19 20 [????? ] 12 de junio 08: 30: 08.325: RADIUS: Mensaje-Autenticato [80] 18 12 de junio 08: 30: 08.325: RADIO: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??] 12 de junio 08: 30: 08.326: RADIO: Estado [24] 18 12 de junio 08: 30: 08.326: RADIO: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U] 12 de junio 08: 30: 08.326: RADIUS (00001A96): Recibido de id 1645/128
Por lo tanto, esperaría que la solicitud sea rechazada ya que el "SSID de asociación" no coincide con el RADIUS, sino que se reconoce y el usuario se conecta.
Siguen las configuraciones relevantes:
radio de grupo predeterminado de inicio de sesión de autenticación aaa aaa autenticación iniciar sesión eap_methods grupo radio aaa red de autorización predeterminada si está autenticado aaa contabilidad anidada aaa actualización contable periódica 5 aaa red contable eap_methods start-stop group radio ! dot11 ssid Interactive vlan 1 autenticación abierta autenticación de gestión de claves wpa mbssid modo invitado wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51 ! dot11 ssid Interactive_Ospiti vlan 4 autenticación abierta autenticación de gestión de claves wpa mbssid modo invitado wpa-psk ascii 7 15475E1D0725242D262D265D12730301204 ! dot11 ssid Interactive_Test vlan 5 autenticación abierta eap eap_methods autenticación network-eap eap_methods autenticación key-management wpa versión 2 métodos eap_contabilidad mbssid modo invitado ! interfaz Dot11Radio0 sin dirección ip no ip route-cache cifrado vlan 4 modos de cifrado aes-ccm tkip cifrado vlan 1 modo cifrados aes-ccm tkip cifrado vlan 5 modos de cifrado aes-ccm tkip ssid Interactive ssid Interactive_Ospiti ssid Interactive_Test ganancia de antena 0 mbssid sin espacio de tiempo corto velocidad basic-1.0 basic-2.0 basic-5.5 basic-11.0 canal 2457 raíz de rol de estación ! interfaz Dot11Radio0.1 descripción LAN Interactive encapsulación dot1Q 1 nativo no ip route-cache puente-grupo 1 puente-grupo 1 suscriptor-bucle-control puente-grupo 1 bloque-fuente-desconocida no puente-grupo 1 fuente de aprendizaje sin inundación de unidifusión del grupo de puentes 1 bridge-group 1 spanning-disabled ! interfaz Dot11Radio0.4 descripción LAN Ospiti encapsulación dot1Q 4 no ip route-cache puente-grupo 4 bridge-group 4 subscriber-loop-control puente-grupo 4 bloque-fuente-desconocida no puente-grupo 4 fuente de aprendizaje sin inundación de unidifusión del grupo de puentes 4 bridge-group 4 spanning-disabled ! interfaz Dot11Radio0.5 descripción LAN Test encapsulación dot1Q 5 no ip route-cache puente-grupo 5 puente-grupo 5 suscriptor-bucle-control bridge-group 5 block-unknown-source no puente-grupo 5 fuente de aprendizaje sin inundación de unidifusión del grupo 5 del puente bridge-group 5 spanning-disabled ! radius-server atributo 32 incluir-en-acceso-req formato% h atributo radius-server 4 10.132.0.253 radius-server host 10.132.0.99 auth-port 1812 acct-port 1813 clave no estándar 7 131312061E3811242A142A7C79 radius-server vsa enviar contabilidad radius-server vsa enviar autenticación
Y aquí está la salida de # show versione
Software Cisco IOS, Software C1040 (C1140-K9W7-M), Versión 12.4 (25d) JA1, SOFTWARE DE LIBERACIÓN (fc1) Soporte técnico: http://www.cisco.com/techsupport Copyright (c) 1986-2011 por Cisco Systems, Inc. Compilado jue 11-ago-11 02:58 por prod_rel_team ROM: el programa Bootstrap es el cargador de arranque C1040 BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Versión 12.4 (23c) JA3, SOFTWARE DE LIBERACIÓN (fc1) El tiempo de actividad de UFFICIO-AP1 es de 8 semanas, 2 días, 8 horas, 27 minutos Sistema devuelto a ROM por encendido El sistema se reinició a las 22:39:10 UTC del martes 16 de abril de 2013 El archivo de imagen del sistema es "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"
¿Alguien puede ayudar?
non-standard
a laradius-server host
línea y avisarme si esto cambia los resultados que está obteniendo? Es posible que tenga que colocar lakey 7
declaración por sí misma en una línea diferente para que esto funcione.parse unknown cisco vsa "SSID" - IGNORE
. Entonces, IOS entiende el atributo e intenta analizarlo.interface Dot11Radio
?Respuestas:
Intente cambiar el operador en la configuración de freeradius a "= ~":
ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"
fuente