roma33rus Опубликовано 23 сентября, 2016 (изменено) Всем привет. В интернете инфы не нашел. Предыстория такая. Настраиваю аутентификацию на коммутаторах Dlink через radius. Есть файл users, туда пишу пароли такой конструкцией: user Cleartext-Password := "user" Dlink-Privelege-Level = 3 Реально ли сделать такое, чтобы такая конструкция отрабатывала только на определенный IP или подсеть? Изменено 23 сентября, 2016 пользователем roma33rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 сентября, 2016 отрабатывала только на определенный IP или подсеть По отношении к чему, в коммутатору или к пользователю? Для коммутаторов нужно проверять атрибут NAS-IP-Address. Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают. Для не-cisco лучше использовать TACACS+. Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 сентября, 2016 отрабатывала только на определенный IP или подсеть По отношении к чему, в коммутатору или к пользователю? Для коммутаторов нужно проверять атрибут NAS-IP-Address. Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают. Для не-cisco лучше использовать TACACS+. Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS. По отношению к коммутатора. Да в дебаге видел, что коммутатор передает атрибут NAS-IP-Address. То есть, чтобы проверить атрибут, мне надо написать такую конструкцию: user Cleartext-Password := "user" Dlink-Privelege-Level = 3, NAS-IP-Address == 10.10.10.10 Если я правильно понял. В TACACS+ тоже можно сделать такую привязку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 сентября, 2016 Если я правильно понял. Проверочные атрибуты должны быть в первой строке (через запятую). В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать. В TACACS+ тоже можно сделать такую привязку? Разумеется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 сентября, 2016 Если я правильно понял. Проверочные атрибуты должны быть в первой строке (через запятую). В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать. В TACACS+ тоже можно сделать такую привязку? Разумеется. Отлично я понял. Вот почему у меня проверка этого атрибута не срабатывала. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 сентября, 2016 А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Или просто надо смотреть какие атрибуты передает само устройство и от этого уже отталкиваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 23 сентября, 2016 Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 сентября, 2016 Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius Можно попробовать, спасибо присмотрюсь, попробую поставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 сентября, 2016 А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Читать документацию и примеры. Как то это я делал. Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Он больше заточен под администрирование. При полной поддержке (на Cisco) у него много всяких возможностей. Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS. Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 23 сентября, 2016 А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Читать документацию и примеры. Как то это я делал. Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Он больше заточен под администрирование. При полной поддержке (на Cisco) у него много всяких возможностей. Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS. Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд. Да, есть смысл и на него переехать. Спасибо за подсказки. Буду изучать инфу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
