RADIUS Accounting / Attribute

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

RADIUS Accounting / Attribute

Beitrag von lonesome_walker »

Hallo zusammen,

in einem LAB-Aufbau zur Vorbereitung für ein Kundenprojekt habe ich eine Verständnisfrage. Konfiguriert ist eine WLAN SSID mit 802.1x gegen ein Windows NPS. Die Authentifizierung am WLAN klappt einwandfrei.

Nun soll zusätzlich das Accounting an eine zentrale Firewall (FortiGate) übertragen werden, um über die Accounting-Informationen die Autorisierung innerhalb des Firewall-Regelwerks zu erreichen.

Folgende IPs sind in Verwendung:
NPS: 192.168.111.253
Lancom AP: 192.168.111.252
Fortgate: 192.168.111.251

Der Lancom Accesspoint überträgt die RADIUS Accounting-Informationen an die Firewall, jedoch scheint er dabei ein RADIUS-Attribut zu verschlucken. Konkret geht es um das RADIUS Attribut 26 (Class), über welches eine Gruppenmitgliedschaft übertragen werden soll. Im Windows NPS ist das Attribut konfiguriert und wird in der RADIUS Access-Accept Message auch korrekt dargestellt.

Die RADIUS Access-Accept Message sieht wie folgt aus:

Code: Alles auswählen

[RADIUS-Client] 2018/10/24 14:09:18,246  Devicetime: 2018/10/24 14:09:17,978
Received RADIUS Accept Id 237 from 192.168.111.253 on Port 13712
-->found corr. request 237 to 192.168.111.253:1812, 
[b]  Class               : Gruppe1[/b]
  Framed-Protocol     : PPP
  Service-Type        : Framed
  EAP-Message:
  (4 bytes)
  -->EAP Header
  EAP Packet Code     : Success
  EAP Packet Id       : 10
  EAP Packet Len      : 4
  Class:
  0000: e3 50 0b 5a 00 00 01 37 00 01 02 00 c0 a8 6f fd  .P.Z...7......o.
  0010: 00 00 00 00 a5 bc 2b 34 ae 77 7c f4 01 d4 60 8e  ......+4.w|...`.
  0020: 42 43 b8 bd 00 00 00 00 00 00 02 36              BC.........6
  Vendor 311 Type 14:
  0000: 00 00 00 32                                      ...2
  Vendor 311 Type 15:
  0000: 00 00 00 78                                      ...x
  Vendor 311 Type 10:
  0000: 01 4c 41 42                                      .LAB
  MS-CHAP2-Success:
  0000: 01 53 3d 44 34 39 36 34 32 46 36 46 41 46 37 45  .S=D49642F6FAF7E
  0010: 36 37 31 37 31 42 45 43 34 31 32 35 34 44 37 37  67171BEC41254D77
  0020: 31 42 43 32 33 39 33 32 39 41 39                 1BC239329A9
  MS-MPPE-Send-Key:
  0000: f7 0d 1d c9 31 64 a5 87 b4 7f 9f 8f 87 45 60 4d  ....1d.......E`M
  0010: 5e a7 35 83 d4 14 4e ab a5 4b b3 bb 2d 4c 6c 4e  ^.5...N..K..-LlN
  MS-MPPE-Recv-Key:
  0000: 38 c4 00 6e 21 22 47 8b 8b db f2 25 09 9a c3 59  8..n!"G....%...Y
  0010: 44 5d 50 c6 7f 5a 51 2b 6b 4d f6 93 91 4d 5e 09  D]P..ZQ+kM...M^.
  Message-Authenticator:
  0000: 57 6a 44 63 6e a2 db 72 bb 20 8e 58 8b 28 3f 67  WjDcn..r. .X.(?g
-->trigger requester
Laut RFC 2865 (https://tools.ietf.org/html/rfc2865#page-46) sollte das RADIUS-Attribut 25 (Class) ohne Abänderung vom Lancom Accesspoint an den Accounting Server in der Accounting-Request Message gesendet werden. Das scheint jedoch nicht zu passieren und es wird das RADIUS Attribut Class komplett fallengelassen. Die Accounting-Request Message schaut wie folgt aus:

Code: Alles auswählen

[RADIUS-Client] 2018/10/24 14:09:18,261  Devicetime: 2018/10/24 14:09:18,079
Send RADIUS Accounting Request Id 238 to 192.168.111.251:1813 Backup-Step 1 Retry 0
  Acct-Status-Type    : Start
  User-Name           : lab\np
  Called-Station-Id   : 00-A0-57-21-BA-89:DP_Test_Forti
  NAS-Port-Type       : Wireless - IEEE 802.11
  WLAN-RF-Band        : 2.4 GHz
  Service-Type        : Framed
  NAS-Port            : 1
  NAS-Port-Id         : 1
  Calling-Station-Id  : 78-7B-8A-5F-F6-85
  Connect-Info        : CONNECT 144 Mbps 802.11g/n
  WLAN-Pairwise-Cipher: TGI-CSE-CCMP
  WLAN-Group-Cipher   : TGI-CSE-CCMP
  WLAN-AKM-Suite      : TGI-AUTHSE-8021X
  Framed-IP-Address   : 192.168.111.15
  Acct-Session-Id     : 787b8a5ff685-213590365
  NAS-IP-Address      : 192.168.111.252
  Authenticator:
  0000: b8 57 6c ab 03 75 bc b5 57 54 ad 3c b8 60 e4 63  .Wl..u..WT.<.`.c
Verstehe ich da was falsch, oder verschluckt der Accesspoint das Attribut?


Vielen Dank vorab.

Grüße,
Norman.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Accounting / Attribute

Beitrag von alf29 »

Moin,

das ist korrekt beobachtet, ein eventuell im Accept übermitteltes Class-Attribut wird nicht gespeichert und in Accounting-Requests zurückgegeben. An der Stationstabelle im WLAN gibt es aktuell keinen Speicherplatz dafür. Das wäre ein Feature-Wunsch ans LCOS...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Accounting / Attribute

Beitrag von alf29 »

Moin,

ich sehe in dem RADIUS-Accept noch ein MS-CHAP-Domain Attribut. Wird das in diesem Aufbau auch noch gebraucht?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: RADIUS Accounting / Attribute

Beitrag von lonesome_walker »

Guten Morgen und vielen Dank für die schnelle Antwort!

Was meinst du genau mit MS-CAP-Domain Attribut?

Abgesehen von dem Class-Attribut ist die NPS Konfiguration auf dem Windows Server ziemlich unverändert, ohne Extrawünsche.
Was in der Produktivumgebung später wichtig ist, ist die Domäne vor dem Benutzernamen, da beim Kunden 3 ActiveDirectory Domänen über Vertrauensstellungen verbunden sind und sich alle 3 Domänen den WLC teilen. Der WLC ist in der Produktivumgebung als RADIUS-Proxy aktiv.

Grüße,
Norman.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Accounting / Attribute

Beitrag von alf29 »

Moin,
Was meinst du genau mit MS-CAP-Domain Attribut?
Ich meinte das hier:

Code: Alles auswählen

Vendor 311 Type 10:
  0000: 01 4c 41 42                                      .LAB
Das kodiert das LCOS im Moment nicht aus, das ist laut RFC 2548 das Attribut "MS-CHAP-Domain" (Microsoft-spezifisches Attribut). Der RFC schreibt dazu:
Description

The MS-CHAP-Domain Attribute indicates the Windows NT domain in
which the user was authenticated. It MAY be included in both
Access-Accept and Accounting-Request packets.
Das klingt für mich so, als ob Microsoft ein im Accept geliefertes MS-CHAP-Domain-Attribut auch im Accounting-Request zurückgespiegelt haben möchte.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: RADIUS Accounting / Attribute

Beitrag von lonesome_walker »

Moin,

hmm - gute Frage!

Ich habe in der Microsoft NPS Konfiguration erstmal nichts gefunden, wo ich das abstellen könnte. Das scheint also eine Microsoft Standardeinstellung zu sein. Letztendlich muss das Accounting für diesen Einsatz auch garnicht auf dem Microsoft NPS durchgeführt werden. Die Fortigate Firewall nutzt die Accounting Daten für eine Autorisierung am Firewallregelwerk.

Ich kann der Fortigate auch beibringen, ein anderes RADIUS Attribut aus dem Accounting Request für die Autorisierung zu interpretieren. Ich habe gestern auch schon versucht mit dem Feld "Attributwerte" beim Accounting-Server Eintrag auf dem Lancom rumzuspielen - leider mit mäßigem Erfolg. Ich dachte, dass z.B. der Microsoft NPS das Class Attribut übergibt und der Lancom den Wert des Class Attributes aus der Access-Accept Message in ein anderes Attribut der Accounting Request Message reinschreiben kann. Geht sowas?

Vielen Dank vorab!

Grüße,
Norman.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Accounting / Attribute

Beitrag von alf29 »

Moin,
Ich dachte, dass z.B. der Microsoft NPS das Class Attribut übergibt und der Lancom den Wert des Class Attributes aus der Access-Accept Message in ein anderes Attribut der Accounting Request Message reinschreiben kann. Geht sowas?
Nein, das geht grundsätzlich im Moment nicht, weil sich das LCOS das Class-Attribut aus dem Accept nirgendwo merkt.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: RADIUS Accounting / Attribute

Beitrag von lonesome_walker »

Heyho,

alles klar. Danke für die Hilfestellung!

Wo kann ich Featurewünsche zum LCOS äußern? ;-)

Grüße,
Norman.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Accounting / Attribute

Beitrag von alf29 »

Moin,

ich habe intern einen Eintrag angelegt. Ob und wann das auf dem Radarschirm des Produktmanagements auftaucht, werden wir sehen. Die Erfahrung der vergangenen Jahre lehrt leider, daß meist nur etwas passiert, wenn ein entsprechender "Business Case" dranhängt...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten