Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".

Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542

Убедительная просьба не дублировать темы на старом/новом форуме.

Нюансы авторизации через Radius

Ответить
ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Нюансы авторизации через Radius

Сообщение ogogon » 09 дек 2017, 23:07

Коллеги, подскажите, pls, такую интересную вещь:

Если я использую одиночную, потолочную точку доступа типа EAP-2xx, то она все равно может поднять целую кучу SSID'ов, привязанных к разным VLAN'ам.
Если авторизация настроена через сервер Radius, то как ТД будет разбираться, какого пользователя в какой SSID, и соответственно VLAN пускать?

Например, у меня три SSID - "OFFICE", "HOME" и "ADMINS". Один приделан к VLAN'у конторы, второй - жилого второго этажа, третий - для сисадминов, имеет доступ ко всем консолям и управляющим портам.

Скажим, шибко ушлый пионэр, зная свои login и пароль для SSID "HOME", может применить их коннектясь к SSID "ADMINS". И если в схеме нет какого-то уточняющего атрибута, он расчудесно получит свой "Access-Accept" от сервера, и вломится в VLAN, в который его не звали.

Как правильно разрешается эта ситуация?

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

Ame
Модератор
Модератор
Сообщения: 697
Зарегистрирован: 07 апр 2014, 11:41
Страна: Москва

Re: Нюансы авторизации через Radius

Сообщение Ame » 11 дек 2017, 19:20

Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.
А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.

ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение ogogon » 11 дек 2017, 21:55

Ame писал(а):Тут без топологии сети сложно будет сказать. Тут нужно понимать как настроен коммутатор который делает разделение vlan, Radius сервер.
Вы можете более подробно описать топологию сети.
Гм... Прощу прощения, возможно я что-то не понимаю, но все же, по моему мнению, топология тут не принципиальна. Один коммутатор образует опорную сеть, пять или двести, не должно влиять не обсуждаемый вопрос...

Что же касается настроек, то я имел в виду сугубо азбучные, без каких-либо извращенных новаций.

На всех коммутаторах сети поддерживается одинаковое количество одинаково маркированных (tagged) VLAN'ов. Все пользователи подключены к размаркирующим (untagged) портам, имеющим доступ к административно заданным наборам VLAN'ов. Все коммутаторы связаны между собой транковыми (tagged) портами. Все серверы, маршрутизаторы и наш друг EAP-2xx тоже подключены к транковым портам и маркируют-демаркируют VLAN'ы самостоятельно, поскольку обучены и пользуются доверием.

Что касается Radius-сервера, то это образцово-показательный FreeRADIUS во всей своей красе. Настроенный принимать запрос на доступ и или разрешать, или нет. Чтобы настроить его сложнее, нужно знать, что требуется охватить более тонкими настройками. Пока это мне не известно.
К сожалению, отдельного документа по работе EAP-2xx с сервером Raduis я не нашел. Или не знаю, где искать...
Ame писал(а):А по какой причине Вы добавили в общую авторизацию "ADMINS" ? Этим пользователям можно например настроить отдельный тип авторизации на точке.
Потому, что этих пользователей тоже нужно авторизовывать.

К сожалению, я не совсем понял, что вы имеете в виду под отдельным типом авторизации и для чего он нужен. Пожалуйста, уточните технический смысл этого...

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

reaper
Модератор
Модератор
Сообщения: 582
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение reaper » 12 дек 2017, 15:48

Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.

ogogon
Сообщения: 5
Зарегистрирован: 08 дек 2017, 04:14
Страна: Россия

Re: Нюансы авторизации через Radius

Сообщение ogogon » 12 дек 2017, 15:55

reaper писал(а):Для реализации описанной схемы требуется Accounting и dynamic vlan assignment, на точках EAP на данный момент нет Accounting, он будет реализован в будущем(сроки на данный момент не известны). При этом у нас к сожалению нет информации о планах добавления dynamic vlan assignment в принципе.
"— Грустно, девицы,— ледяным голосом сказал Остап."

Ogogon.
Властитель слабый и лукавый, плешивый щеголь, враг труда,
Нечаянно пригретый славой, над нами царствовал тогда...

mikes
Сообщения: 1
Зарегистрирован: 12 июл 2018, 10:15
Страна: Russia

Re: Нюансы авторизации через Radius

Сообщение mikes » 12 июл 2018, 10:21

ogogon писал(а):
09 дек 2017, 23:07
Как правильно разрешается эта ситуация?
Для этого ни Accounting ни dynamic vlan assignment не нужно
В radius сервер, в запросе от точки приходит SSID на который хочет прицепится клиент. Соответственно и правило в radius можно написать с учетом SSID.

Вопрос к техподдержке, с последнего сообщения в этой теме прошло много времени, появилось ли dynamic vlan assignment ? создавать кучу ssid при живом radius, честно говоря моветон.

Ответить

Вернуться в «Потолочные точки доступа серии EAP/CAP»