Se connecter / S'enregistrer
Votre question

Mon radius n'envoie pas le numéro de vlan au switch

Tags :
  • Adsl
  • Serveur
  • Internet
Dernière réponse : dans Internet
11 Mai 2009 16:13:56

Bonjour,

Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.

Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.

Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyer un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:


Switch:

01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID


Fichier users:

0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2


Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :) 

Autres pages sur : radius envoie numero vlan switch

11 Mai 2009 16:32:11

Essayes plutôt avec : Tunnel-Private-Group-ID =
En majuscule !
C'est idiot mais.....
11 Mai 2009 16:48:23

Argh même avec la majuscule ça ne marche toujours pas! :cry: 
Contenus similaires
11 Mai 2009 22:50:45

Peux tu lancer ton freeradius en mode "debug" : radiusd -X
Et poster la partie des échanges... (change les mots de passe, si il sont en clairs)
11 Mai 2009 23:48:11

User-Password == "password du compte"
Service-Type = Framed-User,
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = ID du vlan

dans certains cas, il faut indiquer 13 à la place de VLAN

pour la config du switch, je pars du principe que c'est bon (pour du cisco je peux t'aider)
12 Mai 2009 07:11:04

Comme dit Maith et comme dans le livre "authentification réseau avec Radius" pour une authentification MAC filaire :

  1. 0020890bb889 Auth-Type := Local, User-Password == "0020890bb889"
  2. Service-Type = Framed-User,
  3. Tunnel-Type = VLAN,
  4. Tunnel-Medium-Type = IEEE-802,
  5. Tunnel-Private-Group-Id = ID du vlan
12 Mai 2009 09:21:49

lolotux a dit :
Comme dit Maith et comme dans le livre "authentification réseau avec Radius" pour une authentification MAC filaire :

  1. 0020890bb889 Auth-Type := Local, User-Password == "0020890bb889"
  2. Service-Type = Framed-User,
  3. Tunnel-Type = VLAN,
  4. Tunnel-Medium-Type = IEEE-802,
  5. Tunnel-Private-Group-Id = ID du vlan



Au départ c'est ce que j'avais mis dans users mais j'avais une erreur du type :"No User-Password or CHAP-Password attribute in the request"

Donc de ce fait j'ai mis "accept" à la place de local. Du coup, le mot de passe n'est plus vraiment utile mais par contre radius renvoie bien un access-accept si l'adresse mac du poste est dans users et access-reject dans le cas contraire.

J'avais déjà essayé avec 13 à la place de VLAN sans meilleur résultat...


Voici ce que j'obtient en mode débug:


rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000017"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0x3804e951d074f910c1d86221256e0b69
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
modcall[authorize]: module "chap" returns noop for request 1
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 0 with timestamp 4a092423
Nothing to do. Sleeping until we see a request.
12 Mai 2009 13:50:16

tinou01 a dit :
Au départ c'est ce que j'avais mis dans users mais j'avais une erreur du type :"No User-Password or CHAP-Password attribute in the request"

Donc de ce fait j'ai mis "accept" à la place de local. Du coup, le mot de passe n'est plus vraiment utile mais par contre radius renvoie bien un access-accept si l'adresse mac du poste est dans users et access-reject dans le cas contraire.

J'avais déjà essayé avec 13 à la place de VLAN sans meilleur résultat...

[...]

Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3" <----- Là
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 0 with timestamp 4a092423
Nothing to do. Sleeping until we see a request.


Je pense que ton VLAN est mal configuré, il envoie ID=3 et non 2
12 Mai 2009 14:44:48

Argh je fais plus attention à ce que je poste moi^^...

En fait c'est juste qu'en faisant des test j'ai changé le numéro de vlan dans le fichier user pour voir si par hasard le vlan 2 ne posait pas problème vu qu'il est déja le guest vlan et donc quand j'ai posté mon message je n'ai pas pensé remettre le vlan 2.

Donc s'il y a dans mon poste précedent :

Tunnel-Private-Group-Id:0 = "3"

c'est bien parce qu'à ce moment la il y avait

Tunnel-Private-Group-Id = 3

dans users
12 Mai 2009 21:46:47

essaye en eap-md5 à la place du chap
12 Mai 2009 22:52:26

Je joue la question idiote !
C'est à dire ? Où le configure t'il ?

PS : Comment vas Maith ?
13 Mai 2009 00:19:17

sur le client et le serveur radius

par contre en eap-md5, les password doivent être accessible au radius (password en clair ou avec un chiffrement réversible), mais comme tu le fais juste du les @MAC, ça ne devrait pas te gêner

soit dit en passant, faire du 802.1x sur des @MAC ce n'est pas de la sécurité, c'est juste de la configuration (ifconfig eth0 down hw ether 00:00:00:00:00:01 ; ifconfig eth0 up)

si tu n'es pas pressé (1 ou 2 mois), j'ai un projet de ce type dans les tuyaux au boulot, mais en ce moment je suis charrette donc pas le temps de m'en occuper

ps : overbooké mais sinon ça va, et toi ?
13 Mai 2009 09:25:29

Quand je décommente le module eap j'ai ça


NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "0500001C"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0x1bd9171ed1a526c383f9236e70cd2aa9
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
rlm_eap: EAP packet type response id 0 length 17
rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
modcall[authorize]: module "eap" returns updated for request 0
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 0
modcall: leaving group authorize (returns updated) for request 0
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Service-Type = Framed-User
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 0


C'est grave docteur?
13 Mai 2009 09:37:47

Autre chose, j'ai remarqué que si dans mon fichier users , au niveau de l'attribut

"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "machin truc"

Mon switch me sort :

"Invalid attribute 81 ignored - wrong length"

Donc le switch reconnait pourtant que "machin truc" devrait correspondre a un numéro de vlan (attribute 81)
Pour moi ça veut dire qu'il reçoit bien l'information. Alors dans ce cas le problème viendrait forcement de la config du switch? ou bien radius pourrait quand même être en cause?
13 Mai 2009 21:21:21

quand tu le fais avec l'utilitaire de test, ça donne quoi ?
14 Mai 2009 09:15:33

Avec radtest j'obtiens ça :


Sending Access-Request of id 246 to 127.0.0.1 port 1812
User-Name = "0008743e7a99"
User-Password = "0008743e7a99"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Request packet from host 127.0.0.1:1061, id=246, length=64
User-Name = "0008743e7a99"
User-Password = "0008743e7a99"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 4
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 4
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 4
modcall: leaving group authorize (returns ok) for request 4
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 246 to 127.0.0.1 port 1061
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 4
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=246, length=35
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
radius:~# --- Walking the entire request list ---
Cleaning up request 4 ID 246 with timestamp 4a0bc47f
Nothing to do. Sleeping until we see a request.


14 Mai 2009 21:06:49

vu comme ça je dirai que c'est la config du switch qui est mauvaise

pour la config du switch, de ce que je vois dans la doc c'est assez proche de cisco

à vu de nez (enfin de doc officielle), il faut entre autre ces paramètres :
dot1x mac-authentication mac-and-802.1x
dot1x port-control auto


de plus il faut que le dialogue soit fait en EAP-MD5 (hors dans tes logs il y a un pb au niveau de la conf EAP du client, du switch ou du radius) et bien entendu que les vlans existent

regarde par ici, ça devrait t'aider :
Cisco
15 Mai 2009 12:08:34

Effectivement je pense bien que le problème se situe au niveau de la conf de eap. J'ai donc modifié mon radiusd.conf en rajoutant un module eap :



modules {
...
eap {
default_eap_type = md5
md5 {
}
...
}
...
}

...mais les changements ne sont pas flagrants, en fait les logs ne changent pas d'un poil.





15 Mai 2009 14:17:23

ça marche!!!!!!!!

J'ai bien configuré comme tu m'a dit en eap-md5 mais ça marchait toujours pas donc du coup j'ai testé en mettant "Auth-Type :=EAP"
et du coup ça fonctionne!!! :D 

Merci beaucoup en tout cas :) 
15 Mai 2009 21:13:00

ba vi, si tu déclare l'eap sans l'activer, ça ne fait rien :p 

en tout cas bon travail

tu nous fais un petit tuto sur tout ça (conf switch/radius/annuaire et postes de travail) pour qu'on le rajoute à la liste ?
16 Mai 2009 16:41:57

C'est vrai que c'est la petite (?) partie qui me manque pour jeter "filairement" les postes indiscrets ! :) 
16 Mai 2009 17:02:43

@lolo : ces techno sont est très dépendantes du hard (il faut que les switch gèrent le 802.1x), de l'annuaire (si c'est pour faire de l'authentification LOGIN/PASS il faut souvent utiliser un chiffrement réversible dans l'annuaire, voir avoir les pass en clair) et des clients (il faut que le client est un supplicant compatible)
18 Mai 2009 09:16:28

Merci encore et pour le tuto je vais m'en occuper dès que j'aurais un moment^^
30 Mars 2010 18:52:30

Bonjour a tous le tuto serait disponible? si oui j'aimerai pouvoir y accéder car je doit implémenter la méme choz ms le serveur radius sera sur 2008 serveur
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS