Jump to content
Калькуляторы

Freeradius файл users

Всем привет. В интернете инфы не нашел. Предыстория такая. Настраиваю аутентификацию на коммутаторах Dlink через radius. Есть файл users, туда пишу пароли такой конструкцией:

 

user Cleartext-Password := "user"
    Dlink-Privelege-Level = 3

 

Реально ли сделать такое, чтобы такая конструкция отрабатывала только на определенный IP или подсеть?

Edited by roma33rus

Share this post


Link to post
Share on other sites

отрабатывала только на определенный IP или подсеть

По отношении к чему, в коммутатору или к пользователю?

Для коммутаторов нужно проверять атрибут NAS-IP-Address.

Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают.

 

Для не-cisco лучше использовать TACACS+.

Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS.

Share this post


Link to post
Share on other sites

отрабатывала только на определенный IP или подсеть

По отношении к чему, в коммутатору или к пользователю?

Для коммутаторов нужно проверять атрибут NAS-IP-Address.

Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают.

 

Для не-cisco лучше использовать TACACS+.

Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS.

По отношению к коммутатора. Да в дебаге видел, что коммутатор передает атрибут NAS-IP-Address. То есть, чтобы проверить атрибут, мне надо написать такую конструкцию:

 

user Cleartext-Password := "user"
    Dlink-Privelege-Level = 3,
    NAS-IP-Address == 10.10.10.10

 

Если я правильно понял. В TACACS+ тоже можно сделать такую привязку?

Share this post


Link to post
Share on other sites

Если я правильно понял.

Проверочные атрибуты должны быть в первой строке (через запятую).

В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать.

 

В TACACS+ тоже можно сделать такую привязку?

Разумеется.

Share this post


Link to post
Share on other sites

Если я правильно понял.

Проверочные атрибуты должны быть в первой строке (через запятую).

В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать.

 

В TACACS+ тоже можно сделать такую привязку?

Разумеется.

Отлично я понял. Вот почему у меня проверка этого атрибута не срабатывала. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

Share this post


Link to post
Share on other sites

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Или просто надо смотреть какие атрибуты передает само устройство и от этого уже отталкиваться?

Share this post


Link to post
Share on other sites

Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius

Можно попробовать, спасибо присмотрюсь, попробую поставить.

Share this post


Link to post
Share on other sites

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать?

Читать документацию и примеры. Как то это я делал.

Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users.

 

А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

Он больше заточен под администрирование.

При полной поддержке (на Cisco) у него много всяких возможностей.

Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS.

Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд.

Share this post


Link to post
Share on other sites

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать?

Читать документацию и примеры. Как то это я делал.

Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users.

 

А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

Он больше заточен под администрирование.

При полной поддержке (на Cisco) у него много всяких возможностей.

Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS.

Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд.

 

Да, есть смысл и на него переехать. Спасибо за подсказки. Буду изучать инфу.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.