Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

(Risolto..sembra) attributi radius

 
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal
Precedente :: Successivo  
Autore Messaggio
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Gio Gen 03, 2013 1:28 pm    Oggetto: (Risolto..sembra) attributi radius Rispondi citando

Ciao a Tutti e buon Anno !!
Purtroppo ho riscontrato un problema di incompatibiltà tra ZS e gli switch cisco della serie Sx-300 (SMB).L'assegnazione dinamica della vlan , che non dava problemi con i catalyst, con la serie 300 non funziona. Il problema credo sia che ZS , quando invia gli attributi radius (relativi al supplicant) all'authenticator, setta il tag dell'attributo a 1 , quando invece , gli switch , non utilzzando tale parametro (il TAG), lo vorrebbero settato a 0.
Gli attributi radius 64, 65, ed 81 hanno 1 primi 2 valori corretti ( type - length) il terzo non conforme (tag a 1 invece che a 0) il 4(Value , in pratica ,Tunnel-Type =13/vlan per l'attributo 64 , Tunnel-Medium-Type=6/802 per il 65 ,e Tunnel-Private-Group-ID=n°vlan per l'81) corretto. E' possibile cambiare il valore del tag negli attributi , ed eventualmente , dove posso trovare la configurazione di tali parametri ?
grazie...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Sab Gen 05, 2013 7:04 pm    Oggetto: Rispondi citando

edit 05/01/13

Una soluzione , sicuramente un pò "sporca" , forse potrebbe esserci... ho copiato /usr/local/share/freeradius/* in /Database/usr/local/share/freeradius/ ,
editato quindi /Database/usr/local/share/freeradius/dictionary.rfc2868 togliendo has_tag agli attributi 64,65 e 81 , come di seguito
Codice:
ATTRIBUTE       Tunnel-Type                             64      integer
ATTRIBUTE       Tunnel-Medium-Type                      65      integer
ATTRIBUTE       Tunnel-Client-Endpoint                  66      string  has_tag
ATTRIBUTE       Tunnel-Server-Endpoint                  67      string  has_tag

ATTRIBUTE       Tunnel-Password                         69      string  has_tag,encrypt=2

ATTRIBUTE       Tunnel-Private-Group-Id                 81      string
dato un mount --bind "/Database/usr/local/share/freeradius" "/usr/local/share/freeradius" , riavviato il radius . L'autenticazione e l'assegnazione alla vlan di appartenenza avviene ora in modo corretto , sia con il cisco SF-308 che con il catalyst 2960 . Aggiunto anche mount --bind "/Database/usr/local/share/freeradius" "/usr/local/shar/freeradius" in pre-boot , ed al riavvio l'autenticazione è sempre ok (dopo un fine-tuning sulle max-req ed i timers/timeout della dot1x interface lato switch). Non sò quanto sia corretto, ma funzionare sembra che funzioni , e finora non ho riscontrato problemi...finora eh !! Smile
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Lun Feb 04, 2013 11:43 am    Oggetto: Rispondi citando

Urgh... Meno male che Alan DeKok non legge... Smile
La cosa mi sa che richiederebbe la correzione da parte di Cisco, dato che se devi modificare uno dei file predefiniti di FR vuol dire che l'implementazione non rispetta il protocollo...
Una cosa meno sporca potrebbe essere il filtraggio dell'attributo da config di FR, ma non avendo l'HW non posso provare.
Ti consiglierei l'iscrizione alla ml di FR (Alan da' delle rispostacce Rolling Eyes , ma ha sempre ragione... sarà perché FreeRADIUS l'ha creato lui e quindi lo conosce "benino"?).
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Lun Feb 04, 2013 2:04 pm    Oggetto: Rispondi citando

Ciao NdK !! ogni tanto ti si "vede" .. Smile Smile
Non è solo cisco che ha deciso che se il tag non è utilizzato và settato a 0, qui è stato trattato lo stesso problema da TekRADIUS . Cisco invece , con il Secure Access Control Server permette di settare gli attributi radius ietf a piacimento.
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it