roma33rus Posted September 23, 2016 (edited) · Report post Всем привет. В интернете инфы не нашел. Предыстория такая. Настраиваю аутентификацию на коммутаторах Dlink через radius. Есть файл users, туда пишу пароли такой конструкцией: user Cleartext-Password := "user" Dlink-Privelege-Level = 3 Реально ли сделать такое, чтобы такая конструкция отрабатывала только на определенный IP или подсеть? Edited September 23, 2016 by roma33rus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 23, 2016 · Report post отрабатывала только на определенный IP или подсеть По отношении к чему, в коммутатору или к пользователю? Для коммутаторов нужно проверять атрибут NAS-IP-Address. Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают. Для не-cisco лучше использовать TACACS+. Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted September 23, 2016 · Report post отрабатывала только на определенный IP или подсеть По отношении к чему, в коммутатору или к пользователю? Для коммутаторов нужно проверять атрибут NAS-IP-Address. Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают. Для не-cisco лучше использовать TACACS+. Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS. По отношению к коммутатора. Да в дебаге видел, что коммутатор передает атрибут NAS-IP-Address. То есть, чтобы проверить атрибут, мне надо написать такую конструкцию: user Cleartext-Password := "user" Dlink-Privelege-Level = 3, NAS-IP-Address == 10.10.10.10 Если я правильно понял. В TACACS+ тоже можно сделать такую привязку? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 23, 2016 · Report post Если я правильно понял. Проверочные атрибуты должны быть в первой строке (через запятую). В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать. В TACACS+ тоже можно сделать такую привязку? Разумеется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted September 23, 2016 · Report post Если я правильно понял. Проверочные атрибуты должны быть в первой строке (через запятую). В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать. В TACACS+ тоже можно сделать такую привязку? Разумеется. Отлично я понял. Вот почему у меня проверка этого атрибута не срабатывала. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted September 23, 2016 · Report post А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Или просто надо смотреть какие атрибуты передает само устройство и от этого уже отталкиваться? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted September 23, 2016 · Report post Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted September 23, 2016 · Report post Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius Можно попробовать, спасибо присмотрюсь, попробую поставить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 23, 2016 · Report post А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Читать документацию и примеры. Как то это я делал. Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Он больше заточен под администрирование. При полной поддержке (на Cisco) у него много всяких возможностей. Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS. Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted September 23, 2016 · Report post А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Читать документацию и примеры. Как то это я делал. Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные? Он больше заточен под администрирование. При полной поддержке (на Cisco) у него много всяких возможностей. Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS. Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд. Да, есть смысл и на него переехать. Спасибо за подсказки. Буду изучать инфу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...