Как настроить FreeRadius на прием всех запросов на аутентификацию?

Я пытаюсь настроить FreeRadius для работы с динамическим назначением VLAN.

Я пытаюсь вернуть определенный идентификатор VLAN для известных хостов, но вернуть идентификатор VLAN по умолчанию для неизвестных хостов.

Это мой первый шаг при создании файла /etc/freeradius/users с одним действительным mac-адресом...

DEFAULT
                Tunnel-Type = VLAN,
                Tunnel-Medium-Type = IEEE-802,
                Fall-Through = Yes

00188bc6db33    Cleartext-Password := "00188bc6db33"
                Tunnel-Private-Group-ID := 9

DEFAULT
                Auth-Type = Accept,
                Tunnel-Private-Group-ID = 1

Если я проверяю это, используя действительный MAC-адрес, он работает нормально и возвращает VLAN ID 9

root@wwwcache1:/etc/freeradius# radtest 00188bc6db33 00188bc6db33
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
        User-Name = "00188bc6db33"
        User-Password = "00188bc6db33"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "9"

... но если я использую неизвестный mac-адрес, аутентификация отклоняется.

root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 13 to 127.0.0.1 port 1812
        User-Name = "0123456789ab"
        User-Password = "0123456789ab"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Reject packet from host
127.0.0.1 port 1812, id=13, length=20

Что я хотел бы увидеть от Radtest для этого

root@wwwcache1:/etc/freeradius# radtest 0123456789ab 0123456789ab
127.0.0.1 0 testing123 Sending Access-Request of id 251 to 127.0.0.1 port 1812
        User-Name = "0123456789ab"
        User-Password = "0123456789ab"
        NAS-IP-Address = 10.58.3.132
        NAS-Port = 0 rad_recv: Access-Accept packet from host
127.0.0.1 port 1812, id=251, length=35
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"

Как я могу заставить freeradius всегда возвращать пакет Access-Accept независимо от запроса аутентификации?

Источник

2 ответа

Решение

Не лучше ли настроить ваш коммутатор с vlan "fail auth"? Я серьезно сомневаюсь, что вы когда-нибудь найдете способ заставить любую аутентификацию ВСЕГДА говорить, что любая комбинация имени пользователя и пароля верна... не ломая много вещей.

Источник

Проблема в настройках по умолчанию заключается в несоответствии пароля, поэтому он отклоняется для других MAC-адресов, попробуйте записать настройки по умолчанию как

DEFAULT        Cleartext-Password := "%{User-Name}"
               Tunnel-Private-Group-ID := 1,
               Reply-Message := "Hello %{User-Name}, You are assigned vlan 1"

Это работает как шарм на моей машине.

Источник
Другие вопросы по тегам