Нюансы авторизации через Radius

Ответить
ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Нюансы авторизации через Radius

Сообщение ogogon » 09 дек 2017, 23:07

Коллеги, подскажите, pls, такую интересную вещь:

Если я использую одиночную, потолочную точку доступа типа EAP-2xx, то она все равно может поднять целую кучу SSID'ов, привязанных к разным VLAN'ам.
Если авторизация настроена через сервер Radius, то как ТД будет разбираться, какого пользователя в какой SSID, и соответственно VLAN пускать?

Например, у меня три SSID - "OFFICE", "HOME" и "ADMINS". Один приделан к VLAN'у конторы, второй - жилого второго этажа, третий - для сисадминов, имеет доступ ко всем консолям и управляющим портам.

Скажим, шибко ушлый пионэр, зная свои login и пароль для SSID "HOME", может применить их коннектясь к SSID "ADMINS". И если в схеме нет какого-то уточняющего атрибута, он расчудесно получит свой "Access-Accept" от сервера, и вломится в VLAN, в который его не звали.

Как правильно разрешается эта ситуация?

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

Ame
Модератор
Модератор
Сообщения: 347
Зарегистрирован: 07 апр 2014, 11:41
Страна: Москва

Re: Нюансы авторизации через Radius

Сообщение Ame » 11 дек 2017, 19:20

Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.
А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.

ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение ogogon » 11 дек 2017, 21:55

Ame писал(а):Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.
Гм... Прощу прощения, возможно я что-то не понимаю, но все же, по моему мнению, топология тут не принципиальна. Один коммутатор образует опорную сеть, пять или двести, не должно влиять не обсуждаемый вопрос...

Что же касается настроек, то я имел в виду сугубо азбучные, без каких-либо извращенных новаций.

На всех коммутаторах сети поддерживается одинаковое количество одинаково маркированных (tagged) VLAN'ов. Все пользователи подключены к размаркирующим (untagged) портам, имеющим доступ к административно заданным наборам VLAN'ов. Все коммутаторы связаны между собой транковыми (tagged) портами. Все серверы, маршрутизаторы и наш друг EAP-2xx тоже подключены к транковым портам и маркируют-демаркируют VLAN'ы самостоятельно, поскольку обучены и пользуются доверием.

Что касается Radius-сервера, то это образцово-показательный FreeRADIUS во всей своей красе. Настроенный принимать запрос на доступ и или разрешать, или нет. Чтобы настроить его сложнее, нужно знать, что требуется охватить более тонкими настройками. Пока это мне не известно.
К сожалению, отдельного документа по работе EAP-2xx с сервером Raduis я не нашел. Или не знаю, где искать...
Ame писал(а):А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.
Потому, что этих пользователей тоже нужно авторизовывать.

К сожалению, я не совсем понял, что вы имеете в виду под отдельным типом авторизации и для чего он нужен. Пожалуйста, уточните технический смысл этого...

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

reaper
Модератор
Модератор
Сообщения: 180
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение reaper » 12 дек 2017, 15:48

Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.

ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение ogogon » 12 дек 2017, 15:55

reaper писал(а):Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.
"— Грустно, девицы,— ледяным голосом сказал Остап."

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

mikes
Сообщения: 1
Зарегистрирован: 12 июл 2018, 10:15
Страна: Russia

Re: Нюансы авторизации через Radius

Сообщение mikes » 12 июл 2018, 10:21

ogogon писал(а):
09 дек 2017, 23:07
Как правильно разрешается эта ситуация?
Для этого ни Accounting ни dynamic vlan assignment не нужно
В radius сервер, в запросе от точки приходит SSID на который хочет прицепится клиент. Соответственно и правило в radius можно написать с учетом SSID.

Вопрос к техподдержке, с последнего сообщения в этой теме прошло много времени, появилось ли dynamic vlan assignment ? создавать кучу ssid при живом radius, честно говоря моветон.

Ответить

Вернуться в «Потолочные точки доступа серии EAP/CAP»