 |
|
|
|
| Autor |
Nachricht |
schibulski
Anmeldungsdatum: 11.03.2005
Beiträge: 36
|
 Verfasst am:
Mo 15 Aug, 2005 17:40 |
  |
|
Hallo Zusammen,
ich will ein 802.1x WLAN-Netz mit einigen 54g's aufbauen. Zudem will ich noch unseren alten VPN-Zugang darueber realisieren. Aus diesem Grund liegen drei VLANs (802.1x, VPN und WLAN Management-Netz) auf dem AP an.
Wichtig ist das Radius-Accounting fuer das 802.1x-Netz, um User anhand ihrer IP-Adresse im Nachhinein zu identifizieren. Aus diesem Grund habe ich auf einem Geraet die Public-Spot Option als Testumgebung installiert. (Accounting geht ohne PSO nicht...)
Man meldet sich nun erst mit 802.1x (EAP-TTLS - Username und Passwort) am Access-Point an. Daraufhin sollte die Public-Spot-Seite erscheinen und man kann sich nun nocheinmal anmelden. Ist diese Anmeldung vollzogen, fliessen die Accounting-Daen zum Radius-Server. Diese Vorgehensweise ist natuerlich etwas ungeschickt, weil der User gezwungen wird, sich zweimal mit den gleichen Credentials anzumelden. (Falls der User sich ueberhaupt ueber die Webseite anmelden kann, da durch die VLAN-Konfiguration der AP im 802.1x Netz keine eigene IP-Adresse besitzt und er deshalb noch nie eine Login-Seite angezeigt hat. Ein Trace + lanauth bringt auch nichts. Aber dies nur am Rande)
Im Hitchhiker Guide zur PSO steht, das es einen automatischen User-Logon gibt. Wie realisiere ich ihn? Mein Auszug aus der users File (Freeradius) bei aktivierter Mac-Authentifizierung im Lancom:
| Code:
|
00022d-539778 Auth-Type := Accept
Reply-Message = "Hallo %u",
Vendor-2356-Attr-7 = "%u",
Fall-Through = Yes
|
Wie bekomme ich die Information "26 Vendor 2356(LCS) Id 7 LCS-PbSpotUserName" an meinen Radius Server. In meinen Log-Files sehe ich nur folgendes:
| Code:
|
Login OK: [00022d-539778 (from client lancom-ap port 0)
Sending Access-Accept of id 80 to 10.87.80.1:3072
Reply-Message = "Hallo 00022d-539778"
Finished request 0
Going to the next request
|
Von Vendor 2356 Id 7 keine Spur. Wahrscheinlich ist "Vendor-2356-Attr-7" falsch, konnte darueber keine Informationen finden. Fuer einen Hinweis waere ich sehr dankbar.
Gruss,
Jupp |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mo 15 Aug, 2005 18:08 |
|
|
Moin,
Wie man bei Deinem RADIUS-Server vendor-spezifische
Attribute definiert, kann ich Dir nicht sagen. Ich benutze
hier den Cistron-Server, da legt man ein 'dictionary.lcs' an,
z.B. so:
| Zitat:
|
VENDOR LCS 2356
ATTRIBUTE LCS-Traffic-Limit 1 integer LCS
ATTRIBUTE LCS-Mac-Address 2 string LCS
ATTRIBUTE LCS-Redirection-URL 3 string LCS
ATTRIBUTE LCS-Comment 4 string LCS
ATTRIBUTE LCS-Account-End 5 integer LCS
ATTRIBUTE LCS-WPA-Passphrase 6 string LCS
ATTRIBUTE LCS-PbSpotUserName 7 string LCS
|
Das inkludiert man dann in das 'dictionary', und man
kann LCS-PbSpotUserName wie alle anderen Standard-
Attribute auch benutzen.
Gruß Alfred |
|
|
  |
|
schibulski
Anmeldungsdatum: 11.03.2005
Beiträge: 36
|
| Verfasst am:
Mi 17 Aug, 2005 09:40 |
|
|
Hallo Alfred, Hallo Zusammen,
| Zitat:
|
Wie man bei Deinem RADIUS-Server vendor-spezifische
Attribute definiert, kann ich Dir nicht sagen. Ich benutze
hier den Cistron-Server,
|
Der Freeradius (Meiner) ist aus dem Cistron (Deiner) hervorgegangen und unterscheidet sich in dieser Hinsicht in keinster Weise ;-)
| Zitat:
|
da legt man ein 'dictionary.lcs' an, (...) Das inkludiert man dann in das 'dictionary', und man
kann LCS-PbSpotUserName wie alle anderen Standard-
Attribute auch benutzen.
|
Yepp, das war der Knackpunkt. Funktioniert! Ein Danke Schoen fuer die kompetente Hilfe!
Doch damit ist die Accountig-Kuh noch nicht vom Eis. Ziel ist das Accounting fuer die 802.1x Anmeldung und nicht fuer die vorgezogene Pruefung der Mac-Adresse. Zur Verdeutlichung. So laueft die Anmeldung zur Zeit mit aktiviertem "Automatic User Login" ab:
Authentifizierung <1> --> Mac-Adresse --> Der AP sendet Accounting Daten an den Radius-Server.
Darauf folgt -->
Authentifizierung <2> --> 802.1x mit TTLS--> User gibt Credentials ein --> User ist angemeldet und hat vollen Netzwerkzugriff --> Der AP sendet keine Accountig Daten an den Radius-Server.
Warum bin ich mit dieser Loesung nicht zufrieden? Weil das Wesentliche in den detail-files fehlt. Der User-Name. Darum muesste es irgendeine Funktion geben, welche das Accountig erst fuer die 802.1x-Anmeldung anstoesst.
Gibt es irgendwelche Ideen dieses Problem zu loesen?
Mit freundlichen Gruessen,
Jupp |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 17 Aug, 2005 23:20 |
|
|
Moin,
das ist richtig beobachtet, da kann ich Dir aber im Moment keine
Lösung anbieten. Die 'Stapelung' der Authentifizierungen ist
fix MAC-Filter->802.1x->Public-Spot, und daß gleichzeitig Public
Spot und 802.1x eingesetzt werden, kommt in der Praxis ansonsten
nie vor.
Geht es eigentlich nur um den Benutzernamen oder auch um den
erzeugten Traffic? Wenn's nur ersteres ist, könnte man da evtl. noch
ein 802.x-Event im WLAN einführen und könnte das dann per syslog
mitschreiben.
Gruß Alfred |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 17 Aug, 2005 23:26 |
|
|
Moin,
was ich noch vergessen habe: 802.1x ist an sich so angelegt,
daß der AP nur als 'Relais' zwischen Client und RADIUS-Server
dient - was für ein Protokoll über diesen Tunnel läuft (TLS, TTLS,
PEAP,LEAP, MD5...), weiß der AP gar nicht und muß er auch
nicht wisssen - irgendwann kommt das 'OK' vom RADIUS-Server
zusammen mit dem Master-Secret...
Gruß Alfred |
|
|
|
|
REPTILE
Anmeldungsdatum: 30.01.2005
Beiträge: 622
|
| Verfasst am:
Mi 17 Aug, 2005 23:35 |
|
|
@schibulski
mal ne frage, was nutzt du denn für nen 802.1x Client software auf den clients ?... habe da schon mal rumexperimentiert, aber habe da irgendwie nichts anständiges gefunden (zumindest nix kostenloses), wollten unsere kunden eigendlich auch so authen aber habe dann doch über MAC access laufen lassen weil wir keinen gescheiten client gefunden haben
zu deinen Problem, du sagtest der Username fehlt in den Accounting daten...
du übergibtst dem PSO doch den Usernamen über das Vendor ID7, um das autologin zu nutzen in der FAQ steht das das PSO den usernamen (also eigendlich den den du da übergibst) mit in den accounting daten sendet.. mhh |
|
|
|
|
schibulski
Anmeldungsdatum: 11.03.2005
Beiträge: 36
|
| Verfasst am:
Do 18 Aug, 2005 10:12 |
|
|
Hallo alle zusammen,
| REPTILE hat folgendes geschrieben:
|
@schibulski
mal ne frage, was nutzt du denn für nen 802.1x Client software auf den clients ?... habe da schon mal rumexperimentiert, aber habe da irgendwie nichts anständiges gefunden (zumindest nix kostenloses), wollten unsere kunden eigendlich auch so authen aber habe dann doch über MAC access laufen lassen weil wir keinen gescheiten client gefunden haben
|
Hier ist eine Liste:
http://www.dfn.de/content/dienstleistungen...odus-supp/
Der Link zu Microsoft+SecureW2 ist etwas veraltetet. SercureW2 ist inzwischen ein Open-Source Supplikant:
http://www.securew2.com/uk/index.htm
| Zitat:
|
zu deinen Problem, du sagtest der Username fehlt in den Accounting daten...
du übergibtst dem PSO doch den Usernamen über das Vendor ID7, um das autologin zu nutzen in der FAQ steht das das PSO den usernamen (also eigendlich den den du da übergibst) mit in den accounting daten sendet.. mhh
|
Bei der Mac-Authentifizierung uebergibst Du die Mac-Adresse als User-Name.
Mit freundlichen Gruessen,
Jupp |
|
|
|
|
|
|
|
|
| |
|
|
