Jump to content
Sign in to follow this  
Bug$

Выдача IP-адресов сервером FreeRadius+EAP-TLS

Recommended Posts

Приветствую всех. Настроил аутентификацию беспроводных клиентов на Freerdius с использованием сертификатов. Все вроде работает, но никак не могу сообразить как выдавать клиентам ip-адреса через атрибуты radius. Вроде как атрибут framed-ip-address должен помочь, но он пишется в файле users.conf, а этот файл не используется при аутентификации посредством сертификатов, насколько я понял. Сделать нужно именно через атрибуты radius, а не по dhcp. Возможно ли в таком варианте ? Спасибо ответившим.

Share this post


Link to post
Share on other sites

ок. Упростим вопрос. Как в принципе можно давать юзерам определнные ip-адреса в соответствии с именами, под которыми они прошли авторизацию на freeradius'е по EAP-TLS ?

Share this post


Link to post
Share on other sites

С фрирадиусом работать приходилось редко и только для аутентификации безпроводных клиентов. Поэтому в сказанном могут быть ошибки, а лезть в документацию нет желания.

1. Клиентом фрирадиуса (да и вообще серверов радиус протокола) являются NAS, как ппп сервер, или терминал сервер и вай-фай точка доступа. Они то и просят радиус провести аунентификацию (т.е сверить пароль и т.п) и, иногда, сетевую авторизацию, т.е. выдать ип адрес, маску и т.д. Соответственно, выдать ип может попросить только тот сервис, который сам раздает его клиенту (напр. ppp), в радиусе тип подобных сервисов называют Framed-User. Всякая ли безпроводная точка может попросить это у радиуса - не знаю. Если да, то в файле users можно указать этот сервис-тип и привязать ип к имени.

2. Вы написали, что аутентификация клиента (не только сервера) проходит по сертификатам. В этом случае, как я понимаю, логин и пароль не требуются. Непонятно, с каким именем вы хотите связать ип адрес.

Можно использовать eap-ttls. Тогда сертификат клиента не требуется (что сильно упрощает его настройку) и он обычно вводит логин и пароль.

Так что я пока вижу два способа решения: либо поднять ppp, если беспроводной клиент не умеет запрашивать у радиуса сетевые настройки, либо по сертификату аутентифицировать сервер, а клиентов по паролю.

Share this post


Link to post
Share on other sites

с файлом users как раз таки проблема в том, что radius туда не смотрит, когда аутентификация происходит по сертификатам (насколько я могу судить) т.е. писать туда можно все что угодно, но он это все игнорирует, хотя может я что-то неправильно делаю. А что касается имени, то оно содержится в пользовательском сертификате, который клиент предъявлеяет radius'у при аутентификации - в режиме отладки четко видно, что radius это имя распознает т.е. привязаться тоже вроде как есть к чему - а вот как это сделать я пока в растерянности - не хватает опыта работы с freeradius'ом. Пытался копать в сторону freerdius as dhcp, но вменяемой документации не нашел - экспериментальная фича потому как, а в примерах конфигов в файле dhcp freeradius'а привязки только mac2ip что не гут т.к. такую привязку я и на точке доступа могу сделать - Cisco это умеет не хуже.

Share this post


Link to post
Share on other sites

Насколько я помню, у фрирадиуса один основной файл конфигурации, остальные включены через инклюд. Применяются, естественно, только те разделы, которые соответствуют выбранному типу аутентификации и сервистипу. Если сервистип ваших беспроводных точек не Framed-User, то, боюсь, вовсе незьзя передать ип адрес через радиус. Вполне вероятно, и при типе аутентификации eap-tls, нет возможности связывать какие-либо данные с пользователем. Основное, что получает NAS от радиуса - прошла аутентификация успешно или нет.

Может, стоит поставить более общий вопрос и поискать другие способы решения.

Share this post


Link to post
Share on other sites

Ну, собственно, вопрос уже стоит достаточно демократично - любой способ назначения конкретного ip-адреса конкретному предъявителю сертификата. Способ аутентификации поменять никак нельзя, тип сервера аутентификации тоже очень нежелательно. Такая вот своеобразная демокартия получилась )))

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...