Выдача IP-адресов сервером FreeRadius+EAP-TLS

[Bug$]

Приветствую всех. Настроил аутентификацию беспроводных клиентов на Freerdius с использованием сертификатов. Все вроде работает, но никак не могу сообразить как выдавать клиентам ip-адреса через атрибуты radius. Вроде как атрибут framed-ip-address должен помочь, но он пишется в файле users.conf, а этот файл не используется при аутентификации посредством сертификатов, насколько я понял. Сделать нужно именно через атрибуты radius, а не по dhcp. Возможно ли в таком варианте ? Спасибо ответившим.

[Bug$]

ок. Упростим вопрос. Как в принципе можно давать юзерам определнные ip-адреса в соответствии с именами, под которыми они прошли авторизацию на freeradius'е по EAP-TLS ?

[gogi]

С фрирадиусом работать приходилось редко и только для аутентификации безпроводных клиентов. Поэтому в сказанном могут быть ошибки, а лезть в документацию нет желания.

1. Клиентом фрирадиуса (да и вообще серверов радиус протокола) являются NAS, как ппп сервер, или терминал сервер и вай-фай точка доступа. Они то и просят радиус провести аунентификацию (т.е сверить пароль и т.п) и, иногда, сетевую авторизацию, т.е. выдать ип адрес, маску и т.д. Соответственно, выдать ип может попросить только тот сервис, который сам раздает его клиенту (напр. ppp), в радиусе тип подобных сервисов называют Framed-User. Всякая ли безпроводная точка может попросить это у радиуса - не знаю. Если да, то в файле users можно указать этот сервис-тип и привязать ип к имени.

2. Вы написали, что аутентификация клиента (не только сервера) проходит по сертификатам. В этом случае, как я понимаю, логин и пароль не требуются. Непонятно, с каким именем вы хотите связать ип адрес.

Можно использовать eap-ttls. Тогда сертификат клиента не требуется (что сильно упрощает его настройку) и он обычно вводит логин и пароль.

Так что я пока вижу два способа решения: либо поднять ppp, если беспроводной клиент не умеет запрашивать у радиуса сетевые настройки, либо по сертификату аутентифицировать сервер, а клиентов по паролю.

[Bug$]

с файлом users как раз таки проблема в том, что radius туда не смотрит, когда аутентификация происходит по сертификатам (насколько я могу судить) т.е. писать туда можно все что угодно, но он это все игнорирует, хотя может я что-то неправильно делаю. А что касается имени, то оно содержится в пользовательском сертификате, который клиент предъявлеяет radius'у при аутентификации - в режиме отладки четко видно, что radius это имя распознает т.е. привязаться тоже вроде как есть к чему - а вот как это сделать я пока в растерянности - не хватает опыта работы с freeradius'ом. Пытался копать в сторону freerdius as dhcp, но вменяемой документации не нашел - экспериментальная фича потому как, а в примерах конфигов в файле dhcp freeradius'а привязки только mac2ip что не гут т.к. такую привязку я и на точке доступа могу сделать - Cisco это умеет не хуже.

[gogi]

Насколько я помню, у фрирадиуса один основной файл конфигурации, остальные включены через инклюд. Применяются, естественно, только те разделы, которые соответствуют выбранному типу аутентификации и сервистипу. Если сервистип ваших беспроводных точек не Framed-User, то, боюсь, вовсе незьзя передать ип адрес через радиус. Вполне вероятно, и при типе аутентификации eap-tls, нет возможности связывать какие-либо данные с пользователем. Основное, что получает NAS от радиуса - прошла аутентификация успешно или нет.

Может, стоит поставить более общий вопрос и поискать другие способы решения.

[Bug$]

Ну, собственно, вопрос уже стоит достаточно демократично - любой способ назначения конкретного ip-адреса конкретному предъявителю сертификата. Способ аутентификации поменять никак нельзя, тип сервера аутентификации тоже очень нежелательно. Такая вот своеобразная демокартия получилась )))