Jump to content

Freeradius файл users

roma33rus
 Share

Recommended Posts

roma33rus

roma33rus

Posted
Posted (edited)

Всем привет. В интернете инфы не нашел. Предыстория такая. Настраиваю аутентификацию на коммутаторах Dlink через radius. Есть файл users, туда пишу пароли такой конструкцией:

 

user Cleartext-Password := "user"
    Dlink-Privelege-Level = 3

 

Реально ли сделать такое, чтобы такая конструкция отрабатывала только на определенный IP или подсеть?

Edited by roma33rus
alibek

alibek

Posted
Posted

отрабатывала только на определенный IP или подсеть

По отношении к чему, в коммутатору или к пользователю?

Для коммутаторов нужно проверять атрибут NAS-IP-Address.

Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают.

 

Для не-cisco лучше использовать TACACS+.

Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS.

roma33rus

roma33rus

Posted
  • Author
Posted

отрабатывала только на определенный IP или подсеть

По отношении к чему, в коммутатору или к пользователю?

Для коммутаторов нужно проверять атрибут NAS-IP-Address.

Для пользователей нужно проверять атрибут Framed-IP-Address, но не все коммутаторы его передают.

 

Для не-cisco лучше использовать TACACS+.

Он тоже не полностью поддерживается, но все же эффективнее, чем RADIUS.

По отношению к коммутатора. Да в дебаге видел, что коммутатор передает атрибут NAS-IP-Address. То есть, чтобы проверить атрибут, мне надо написать такую конструкцию:

 

user Cleartext-Password := "user"
    Dlink-Privelege-Level = 3,
    NAS-IP-Address == 10.10.10.10

 

Если я правильно понял. В TACACS+ тоже можно сделать такую привязку?

alibek

alibek

Posted
Posted

Если я правильно понял.

Проверочные атрибуты должны быть в первой строке (через запятую).

В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать.

 

В TACACS+ тоже можно сделать такую привязку?

Разумеется.

roma33rus

roma33rus

Posted
  • Author
Posted

Если я правильно понял.

Проверочные атрибуты должны быть в первой строке (через запятую).

В данном случае пользователь user сможет зайти на коммутатор 10.10.10.10, для других коммутаторов этот логин нельзя будет использовать.

 

В TACACS+ тоже можно сделать такую привязку?

Разумеется.

Отлично я понял. Вот почему у меня проверка этого атрибута не срабатывала. А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

roma33rus

roma33rus

Posted
  • Author
Posted

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать? Или просто надо смотреть какие атрибуты передает само устройство и от этого уже отталкиваться?

roma33rus

roma33rus

Posted
  • Author
Posted

Если вы хотите чекать атрибуты, лучше всего использовать связку FreeRADIUS+DB+DaloRadius

Можно попробовать, спасибо присмотрюсь, попробую поставить.

alibek

alibek

Posted
Posted

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать?

Читать документацию и примеры. Как то это я делал.

Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users.

 

А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

Он больше заточен под администрирование.

При полной поддержке (на Cisco) у него много всяких возможностей.

Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS.

Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд.

roma33rus

roma33rus

Posted
  • Author
Posted

А допустим в NAS-IP-Address передается один IP, а по какому атрибуту подсеть узнать?

Читать документацию и примеры. Как то это я делал.

Например коммутаторы можно заносить в clients (client = 10.10.0.0/16), а не проверять у users.

 

А TACACS+ в чем эффективнее? в нем плюшки есть какие-то интересные?

Он больше заточен под администрирование.

При полной поддержке (на Cisco) у него много всяких возможностей.

Другие вендоры обычно поддерживают только базовые функции, но и в этом случае у них обычно TACACS+ реализован более полно, чем RADIUS.

Кроме того, некоторые возможности в RADIUS в принципе отсутствуют, например авторизация команд.

 

Да, есть смысл и на него переехать. Спасибо за подсказки. Буду изучать инфу.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.