Utilisation de RADIUS pour restreindre le SSID sur Cisco Aironet

10

Je voudrais utiliser mon serveur RADIUS pour restreindre l'accès au SSID configuré par utilisateur .

Selon la documentation liée ci-dessus, j'ajoute l'attribut suivant à un utilisateur de test:

ospite-5vh Cisco-AVPair + = "ssid = Interactive_Ospiti"

Donc, en activant l' authentification du rayon de débogage , je vois:

12 juin 08: 30: 08.266: RADIUS (00001A96): Envoyer la demande d'accès au 212.183.164.38:1812 id 1645/128, len 177
12 juin 08: 30: 08.266: RAYON: authentificateur CC C9 63 16 B0 62 74 52 - A7 95 DF 1D 93 F3 08 37
12 juin 08: 30: 08.267: RAYON: Nom d'utilisateur [1] 12 "ospite-5vh"
12 juin 08: 30: 08.267: RAYON: Framed-MTU [12] 6 1400                      
12 juin 08: 30: 08.267: RADIUS: Called-Station-Id [30] 16 "8478.acf0.9002"
12 juin 08: 30: 08.267: RADIUS: Calling-Station-Id [31] 16 "2064.3267.44ca"
12 juin 08: 30: 08.267: RAYON: Fournisseur, Cisco [26] 29  
12 juin 08: 30: 08.267: RAYON: Cisco AVpair [1] 23 "ssid = Interactive_Test"
12 juin 08: 30: 08.267: RAYON: Type de service [6] 6 Connexion [1]
12 juin 08: 30: 08.267: RAYON: Message-Authenticato [80] 18  
12 juin 08: 30: 08.267: RAYON: 7D 95 ED 39 3D 12 82 9F 30 8D 1F F4 84 04 43 C9 [} ?? 9 = ??? 0 ????? C?]
12 juin 08: 30: 08.267: RAYON: Message EAP [79] 17  
12 juin 08: 30: 08.267: RAYON: 02 01 00 0F 01 6F 73 70 69 74 65 2D 35 76 68 [????? ospite-5vh]
12 juin 08: 30: 08.267: RAYON: Type de port NAS [61] 6 802.11 sans fil [19]
12 juin 08: 30: 08.267: RAYON: Port NAS [5] 6 7037                      
12 juin 08: 30: 08.268: RAYON: NAS-Id-Port [87] 6 "7037"
12 juin 08: 30: 08.268: RAYON: NAS-IP-Address [4] 6 10.132.0.253              
12 juin 08: 30: 08.268: RAYON: Nas-Identifier [32] 13 "UFFICIO-AP1"
12 juin 08: 30: 08.325: RAYON: Reçu de l'id 1645/128 212.183.164.38:1812, Access-Challenge, len 95
12 juin 08: 30: 08.325: RAYON: authentificateur 8A C9 30 9B 1B 13 20 91 - 4C D6 FE B3 2A 1E F7 85
12 juin 08: 30: 08.325: RAYON: Fournisseur, Cisco [26] 31  
12 juin 08: 30: 08.325: RAYON: Cisco AVpair [1] 25 "ssid = Interactive_Ospiti"
12 juin 08: 30: 08.325: RAYON: Message EAP [79] 8   
12 juin 08: 30: 08.325: RAYON: 01 02 00 06 19 20 [????? ]
12 juin 08: 30: 08.325: RAYON: Message-Authenticato [80] 18  
12 juin 08: 30: 08.325: RAYON: 31 7D 79 7B C3 67 7E 71 5A FA 53 D4 76 2E 9D A4 [1} y {? G ~ qZ? S? V. ??]
12 juin 08: 30: 08.326: RAYON: État [24] 18  
12 juin 08: 30: 08.326: RAYON: 9E B6 71 EA 9E B4 68 7A 8E 86 18 54 AF BD AF 55 [?? q ??? hz ??? T ??? U]
12 juin 08: 30: 08.326: RADIUS (00001A96): Reçu de l'id 1645/128

Je m'attendrais donc à ce que la demande soit refusée car le "SSID d'association" ne correspond pas au RADIUS, il est plutôt reconnu et l'utilisateur est connecté.

Les configurations pertinentes suivent:

rayon de groupe par défaut de connexion d'authentification aaa
connexion d'authentification aaa rayon du groupe eap_methods
réseau d'autorisation aaa par défaut si authentifié 
comptabilité aaa imbriquée
mise à jour comptable aaa périodique 5
réseau comptable aaa eap_methods rayon de groupe de début et de fin
!
dot11 ssid Interactive
   vlan 1
   authentification ouverte 
   authentification gestion des clés wpa
   mbssid guest-mode
   wpa-psk ascii 7 01120101551F035F7324DB1194F0ABEE1C0B03175B5C51
!
dot11 ssid Interactive_Ospiti
   vlan 4
   authentification ouverte 
   authentification gestion des clés wpa
   mbssid guest-mode
   wpa-psk ascii 7 15475E1D0725242D262D265D12730301204
!
dot11 ssid Interactive_Test
   vlan 5
   authentification ouverte eap eap_methods 
   authentification network-eap eap_methods 
   authentification gestion des clés wpa version 2
   comptabilité eap_methods
   mbssid guest-mode
!
interface Dot11Radio0
 pas d'adresse ip
 pas de cache de route ip
 chiffrement chiffrement en mode vlan 4 aes-ccm tkip 
 chiffrement chiffrement en mode vlan 1 aes-ccm tkip 
 chiffrement chiffrement en mode vlan 5 aes-ccm tkip 
 ssid Interactive
 ssid Interactive_Ospiti
 ssid Interactive_Test
 gain d'antenne 0
 mbssid
 pas de courte durée
 vitesse de base-1.0 de base-2.0 de base-5.5 de base-11.0
 canal 2457
 racine de rôle de station
!
interface Dot11Radio0.1
 description LAN Interactive
 encapsulation dot1Q 1 native
 pas de cache de route ip
 pont-groupe 1
 pont-groupe 1 abonné-boucle-contrôle
 pont-groupe 1 bloc-source-inconnue
 pas de bridge-group 1 source-learning
 pas de pont unicast-inondation du groupe 1
 pont-groupe 1 étendu-désactivé
!
interface Dot11Radio0.4
 description LAN Ospiti
 encapsulation dot1Q 4
 pas de cache de route ip
 pont-groupe 4
 pont-groupe 4 abonné-boucle-contrôle
 pont-groupe 4 bloc-source-inconnue
 pas d'apprentissage de source du groupe-pont 4
 pas de pont-groupe 4 inondation unicast
 pont-groupe 4 couvrant-désactivé
!
interface Dot11Radio0.5
 description LAN Test
 encapsulation dot1Q 5
 pas de cache de route ip
 pont-groupe 5
 bridge-group 5 abonné-boucle-contrôle
 pont-groupe 5 bloc-source-inconnue
 pas d'apprentissage à la source du bridge-group 5
 aucune inondation à monodiffusion du groupe de ponts 5
 pont-groupe 5 couvrant-désactivé
!
attribut rayon-serveur 32 format d'inclusion d'accès requis% h
attribut radius-server 4 10.132.0.253
hôte du serveur radius 10.132.0.99 port-auth 1812 port-acct 1813 clé non standard 7 131312061E3811242A142A7C79
rayon-serveur vsa envoyer la comptabilité
rayon-serveur vsa envoyer l'authentification

Et voici la sortie de # show versione

Logiciel Cisco IOS, logiciel C1040 (C1140-K9W7-M), version 12.4 (25d) JA1, LOGICIEL DE LIBÉRATION (fc1)
Support technique: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 par Cisco Systems, Inc.
Compilé jeu 11-août-11 02:58 par prod_rel_team

ROM: le programme Bootstrap est le chargeur de démarrage C1040
BOOTLDR: C1040 Boot Loader (C1140-BOOT-M) Version 12.4 (23c) JA3, RELEASE SOFTWARE (fc1)

UFFICIO-AP1 est disponible sur 8 semaines, 2 jours, 8 heures, 27 minutes
Système retourné à la ROM à la mise sous tension
Système redémarré à 22:39:10 UTC mar 16 avril 2013
Le fichier d'image système est "flash: /c1140-k9w7-mx.124-25d.JA1/c1140-k9w7-mx.124-25d.JA1"

Quelqu'un peut-il aider?

Marco Marzetti
la source
2
Utilisez-vous ACS ou un autre serveur RADIUS?
Dave Noonan
J'utilise FreeRADIUS avec le backend MySQL
Marco Marzetti
@MarcoMarzetti, pourriez-vous ajouter non-standardà la radius-server hostligne et me faire savoir si cela change les résultats que vous obtenez? Vous devrez peut-être mettre la key 7déclaration seule sur une ligne différente pour que cela fonctionne.
Mike Pennington
@MikePennington fait, mais rien n'a changé. BTW j'ai eu cette erreur lorsque je l' ai changé la valeur à « SSID = Interactive_Ospiti »: parse unknown cisco vsa "SSID" - IGNORE. IOS comprend donc l'attribut et essaie de l'analyser.
Marco Marzetti
À quoi sert votre configuration interface Dot11Radio?
generalnetworkerror

Réponses:

1

Essayez de changer l'opérateur dans la configuration freeradius en "= ~":

ospite-5vh Cisco-AVPair =~ "ssid=Interactive_Ospiti"

Santino
la source
ne pense pas que cela pourrait aider car "= ~" est pour les comparaisons et je veux une affectation. Notez que la vérification SSID doit être effectuée par IOS et non par FreeRADIUS.
Marco Marzetti