Usando o RADIUS para restringir o SSID no Cisco Aironet


10

Gostaria de usar meu servidor RADIUS para restringir o acesso ao SSID configurado por usuário .

De acordo com a documentação vinculada acima, adiciono o seguinte atributo a um usuário de teste:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Assim, habilitando a autenticação do raio de depuração , vejo:

12 de junho 08: 30: 08.266: RADIUS (00001A96): envie a solicitação de acesso para 212.183.164.38:1812 id 1645/128, len 177
Jun 12 08: 30: 08.266: RAIO: autenticador CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 de junho 08: 30: 08.267: RAIO: Nome de usuário [1] 12 "ospite-5vh"
12 de junho 08: 30: 08.267: RAIO: Framed-MTU [12] 6 1400                      
12 de junho 08: 30: 08.267: RAIO: Identificação da estação chamada [30] 16 "8478.acf0.9002"
12 de junho 08: 30: 08.267: RAIO: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 de junho 08: 30: 08.267: RAIO: Vendedor, Cisco [26] 29  
12 de junho 08: 30: 08.267: RAIO: Cisco AVpair [1] 23 "ssid = Interactive_Test"
Jun 12 08: 30: 08.267: RAIO: Tipo de serviço [6] 6 Login [1]
12 de junho 08: 30: 08.267: RAIO: Message-Authenticato [80] 18  
12 de junho 08: 30: 08.267: RAIO: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 de junho 08: 30: 08.267: RAIO: EAP-Mensagem [79] 17  
12 de junho 08: 30: 08.267: RAIO: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [ospite-5vh]
12 de junho 08: 30: 08.267: RAIO: Tipo de porta NAS [61] 6 802.11 sem fio [19]
12 de junho 08: 30: 08.267: RAIO: NAS-Port [5] 6 7037                      
12 de junho 08: 30: 08.268: RAIO: NAS-Port-Id [87] 6 "7037"
12 de junho 08: 30: 08.268: RAIO: NAS-IP-Address [4] 6 10.132.0.253              
12 de junho 08: 30: 08.268: RAIO: Nas-Identifier [32] 13 "UFFICIO-AP1"
Jun 12 08: 30: 08.325: RAIO: Recebido do ID 1645/128 212.183.164.38:1812, Access-Challenge, len 95
Jun 12 08: 30: 08.325: RAIO: autenticador 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 de junho 08: 30: 08.325: RAIO: Vendedor, Cisco [26] 31  
12 de junho 08: 30: 08.325: RAIO: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 de junho 08: 30: 08.325: RAIO: EAP-Mensagem [79] 8   
12 de junho 08: 30: 08.325: RAIO: 01 02 00 06 19 20 [????? ]
12 de junho 08: 30: 08.325: RAIO: Message-Authenticato [80] 18  
12 de junho 08: 30: 08.325: RAIO: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 de junho 08: 30: 08.326: RAIO: Estado [24] 18  
12 de junho 08: 30: 08.326: RAIO: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 de junho 08: 30: 08.326: RAIO (00001A96): Recebido do ID 1645/128

Então, eu esperaria que a solicitação fosse recusada, pois a "associação SSID" não corresponde à do RADIUS, mas é reconhecida e o usuário fica conectado.

Configurações relevantes a seguir:

raio do grupo padrão do login de autenticação aaa
login de autenticação aaa raio do grupo eap_methods
padrão de rede de autorização aaa se autenticado 
contabilidade aaa aninhada
aaa atualização contábil periódica 5
aaa rede contábil eap_methods raio do grupo start-stop
!
dot11 ssid Interativo
   vlan 1
   autenticação aberta 
   autenticação wpa de gerenciamento de chaves
   modo convidado mbssid
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   autenticação aberta 
   autenticação wpa de gerenciamento de chaves
   modo convidado mbssid
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   autenticação abrir eap eap_methods 
   autenticação network-eap eap_methods 
   gerenciamento de chaves de autenticação wpa versão 2
   eap_methods de contabilidade
   modo convidado mbssid
!
interface Dot11Radio0
 nenhum endereço ip
 nenhum cache de rota ip
 criptografia cifras no modo vlan 4 aes-ccm tkip 
 criptografia modo vlan 1 cifras aes-ccm tkip 
 criptografia cifras do modo vlan 5 aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 ganho da antena 0
 mbssid
 sem curto espaço de tempo
 velocidade basic-1.0 basic-2.0 basic-5.5 basic-11.0
 canal 2457
 raiz da função de estação
!
interface Dot11Radio0.1
 descrição LAN Interactive
 encapsulamento dot1Q 1 nativo
 nenhum cache de rota ip
 grupo ponte 1
 controle de loop de assinante do grupo de bridge 1
 fonte desconhecida do bloco 1 do grupo de pontes
 sem aprendizado de fonte do grupo-ponte 1
 nenhuma inundação unicast do grupo 1 da ponte
 bridge-group 1 spanning-disabled
!
interface Dot11Radio0.4
 descrição LAN Ospiti
 ponto de encapsulamento
 nenhum cache de rota ip
 grupo ponte 4
 controle de loop de assinante do grupo de bridge 4
 fonte desconhecida do bloco 4 do grupo de pontes
 sem aprendizado de fontes do grupo ponte 4
 nenhuma inundação unicast do grupo 4 da ponte
 bridge-group 4 spanning-disabled
!
interface Dot11Radio0.5
 descrição LAN Test
 ponto de encapsulamento
 nenhum cache de rota ip
 grupo ponte 5
 controle de loop de assinante do grupo de bridge 5
 fonte desconhecida do bloco 5 do grupo de pontes
 nenhuma aprendizagem de fontes do grupo ponte 5
 nenhuma inundação unicast do grupo 5 da ponte
 bridge-group 5 spanning-disabled
!
atributo radius-server 32 formato include-in-access-req% h
atributo radius-server 4 10.132.0.253
radius-server host 10.132.0.99 porta de autenticação 1812 porta não-padrão 1813 chave não padrão 7 131312061E3811242A142A7C79
radius-server vsa send accounting
autenticação de envio radius-server vsa

E aqui está a saída de # show versione

Software Cisco IOS, software C1040 (C1140-K9W7-M), versão 12.4 (25d) JA1, SOFTWARE DE LANÇAMENTO (fc1)
Suporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 da Cisco Systems, Inc.
Compilado Qui 11-Ago-11 02:58 por prod_rel_team

ROM: O programa de inicialização é o carregador de inicialização C1040
BOOTLDR: Carregador de inicialização C1040 (C1140-BOOT-M) Versão 12.4 (23c) JA3, SOFTWARE DE LANÇAMENTO (fc1)

O tempo de atividade do UFFICIO-AP1 é de 8 semanas, 2 dias, 8 horas, 27 minutos
Sistema retornado à ROM ao ligar
Sistema reiniciado às 22:39:10 UTC ter 16 de abril de 2013
O arquivo de imagem do sistema é "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Alguém pode ajudar?


2
Você está usando o ACS ou algum outro servidor RADIUS?
precisa

Estou usando FreeRADIUS com MySQL backend
Marco Marzetti

@MarcoMarzetti, você poderia adicionar non-standardà radius-server hostlinha e me informar se isso altera os resultados que você está obtendo? Você pode ter que colocar a key 7declaração sozinha em uma linha diferente para que isso funcione.
Mike Pennington

@ MikePennington feito, mas nada mudou. BTW eu tenho esse erro quando eu mudei o valor para "SSID = Interactive_Ospiti": parse unknown cisco vsa "SSID" - IGNORE. Portanto, o IOS entende o atributo e tenta analisá-lo.
Marco Marzetti 13/06

Qual é a sua configuração interface Dot11Radio?
generalnetworkerror

Respostas:


1

Tente alterar o operador na configuração do freeradius para "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"


não acho que isso poderia ajudar, pois "= ~" é para comparações e eu quero uma tarefa. Observe que a verificação do SSID deve ser feita pelo IOS e não pelo FreeRADIUS.
Marco Marzetti
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.