FreeRadius настраивает два разных типа аутентификации
Есть конкретный сценарий, в котором мы хотели бы использовать FreeRadius для входа в коммутаторы с использованием учетных данных Kerberos и сетевых устройств с использованием EAP-TLS.
В настоящее время это настроено и работает, но только по одному. Таким образом, я могу войти в коммутатор, используя данные Kerberos, и вы получите радиус возврата назад. Когда устройство использует EAP-TLS, оно возьмет имя компьютера и попытается пройти проверку подлинности с использованием Kerberos, используя имя, но впоследствии произойдет сбой из-за отсутствия пароля.
Если я закомментирую строку для "файлов", например, в site-available / default, пользовательский файл больше не будет прочитан, и поэтому "default = auth-type kerberos" больше не будет использоваться. Затем получит радиус приема обратно для всех запросов eap-tls.
Поэтому я приношу свои извинения за то, что не публикую никакой конфигурации или отладочной информации, но не могу поделиться этой информацией, но по запросу могу вручную ввести любой требуемый элемент.
Поэтому мой вопрос: знает ли кто-нибудь, как одновременно настроить Freeradius для аутентификации управления коммутатором с использованием Kerberos и аутентификации сетевого компьютера с использованием EAP-TLS.
Спасибо заранее.
1 ответ
Не применяйте Auth-Type для всех случаев - только для случаев, когда вы хотите использовать Kerberos.
Часто это может быть сделано путем настройки "Auth-Type = Kerberos", а не "Auth-Type:= Kerberos" - первый не заставит атрибут обновляться, если он уже был установлен EAP.
В качестве альтернативы, не устанавливайте Auth-Type с модулем files, но делайте это в unlang, например, с чем-то вроде
if (!Auth-Type) {
update control {
Auth-Type := Kerberos
}
}
после того как eap был вызван. Вместо того, чтобы говорить "if (! Auth-Type)", вы могли бы вместо этого сделать это специфичным для запросов, которые должны использовать Kerberos, например, путем проверки Packet-Src-IP-Address / NAS-Identifier / Huntgroup / и т. Д.