我最近深入到dynamicVLAN分配的802.1xauthentication。
我目前的设置包含: – 一个客户端 – 一个SG220 cisco交换机(申请者) – 一个基于LDAP AD的freeradius(authenticator) – 一个为防火墙而devise的防火墙,充当DHCP服务器。
至于身份validation,它的作品。 我的用户得到了authentication,并以这种forms接收到一个Access-Accept消息。
Sending Access-Accept of id 12 to xxx.xxx.xxx.xxx port 6103 Tunnel-Private-Group-Id:0 = "vlan_name" Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Type:0 = VLAN MS-MPPE-Recv-Key = 0xd899b158c44adb59894a8ad4c7554010571fffe1c3ef87f74db910c482c2be82 MS-MPPE-Send-Key = 0xe094d1c3e2fb5d5153963089c533278338d655284858156b0fb2e78e72ab7060 EAP-Message = 0x03320004 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "username" 我已经添加了隧道属性到我的LDAP目录,就像之前的freeradiusdebugging信息显示它存储在radius包中。
我已经读了无数的线程,你应该添加“use_tunneled_reply = yes”到你的eap.conf文件,我已经完成了如下所示:
eap { use_tunneled_reply = yes default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 md5 { } leap { } gtc { auth_type = PAP } tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key pem_file_type = yes certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom CA_path = ${cadir} cipher_list = "DEFAULT" make_cert_command = "${certdir}/bootstrap" cache { enable = no max_entries = 255 } verify { } } ttls { virtual_server = "inner-tunnel" } peap { virtual_server = "inner-tunnel" } mschapv2 { } }
至于开关configuration去接口:
encrypted radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 0 key "some hash"== priority 1 usg-type 802.1x aaa authentication enable default radius dot1x system-auth-control vlan 50 name "vlan_name" interface gi1 switchport mode access dot1x port-control auto spanning-tree portfast
交换机vlan从Fortigate那里得到他们的dhcp,也就是vlan的创build。
我只是把它工作到了我设置静态访问端口的地步。
在这一点上,我已经用尽了各种select和论坛。
如果有人能够朝正确的方向推动我会很高兴。 甚至不知道我是否应该在freeradius侧或开关侧寻找问题。
如果你需要更多的文件或日志只是给我一个戳。
亲切的问候