powered by simpleCommunicator - 2.0.29     © 2024 Programmizd 02
Map
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Передача атрибутов в FreeRADIUS, CoA
2 сообщений из 2, страница 1 из 1
Передача атрибутов в FreeRADIUS, CoA
    #40093805
zxprsl
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Всем привет.
Настроил FreeRADIUS 3.0 на debian 10 (buster) + mysql + DaloRADIUS

Схема такая:
WiFi точки доступа - NAS (или в составе точки доступа (Eltex), или отдельный (Cisco) - FreeRADIUS
Тип аутентификации: PEAP

Аутентификация проходит успешно по логину и паролю.

Но нужно ещё передать дополнительные атрибуты, например:

Acct-Interim-Interval = 120
Cisco-AVPair = "subscriber:policer-rate-in=500"

Занёс из в БД через морду DaloRADIUS

тестирую в консоле:
radtest -t mschap zx12 zx localhost 0 testing123
авторSent Access-Request Id 155 from 0.0.0.0:49118 to 127.0.0.1:1812 length 130
User-Name = "zx12"
MS-CHAP-Password = "zx"
NAS-IP-Address = 10.8.8.1
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = "zx"
MS-CHAP-Challenge = 0x31d51900f0101fbc
MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000000a84f001cf18cc26245dfec374e75525393e149fbe69b53c
Received Access-Accept Id 155 from 127.0.0.1:1812 to 127.0.0.1:49118 length 129
Acct-Interim-Interval = 300
Cisco-AVPair = "subscriber:policer-rate-in=1000"

MS-CHAP-MPPE-Keys = 0xa51dfa33237859047988b38deec78a92a4dcc0daa9dc600e
MS-MPPE-Encryption-Policy = Encryption-Allowed
MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed

Видно, что атрибуты забираются из БД и передаются в Access-Accept.
В дебаге есть:
автор(686) Mon Aug 30 13:49:11 2021: Debug: Sent Access-Accept Id 174 from 127.0.0.1:1812 to 127.0.0.1:35302 length 0
(686) Mon Aug 30 13:49:11 2021: Debug: Acct-Interim-Interval = 300
(686) Mon Aug 30 13:49:11 2021: Debug: Cisco-AVPair = "subscriber:policer-rate-in=1000"
(686) Mon Aug 30 13:49:11 2021: Debug: MS-CHAP-MPPE-Keys = 0xa51dfa33237859047988b38deec78a92a4dcc0daa9dc600e
(686) Mon Aug 30 13:49:11 2021: Debug: MS-MPPE-Encryption-Policy = Encryption-Allowed
(686) Mon Aug 30 13:49:11 2021: Debug: MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(686) Mon Aug 30 13:49:11 2021: Debug: Finished request


Но при реальной аутентификации на точке WiFi в Access-Accept этих атрибутов не вижу:

автор...
(659) Mon Aug 30 13:37:05 2021: Debug: # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
...
(659) Mon Aug 30 13:37:05 2021: Debug: sql: Acct-Interim-Interval = 300
(659) Mon Aug 30 13:37:05 2021: Debug: sql: Cisco-AVPair = "subscriber:policer-rate-in=1000"
....
....
(659) Mon Aug 30 13:37:05 2021: Debug: # Executing group from file /etc/freeradius/3.0/sites-enabled/default
...
(659) Mon Aug 30 13:37:05 2021: Debug: Acct-Interim-Interval = 300
(659) Mon Aug 30 13:37:05 2021: Debug: Cisco-AVPair = "subscriber:policer-rate-in=1000"
...
...
(665) Mon Aug 30 13:37:05 2021: Debug: # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/inner-tunnel
...
(665) Mon Aug 30 13:37:05 2021: Debug: sql: Acct-Interim-Interval = 300
(665) Mon Aug 30 13:37:05 2021: Debug: sql: Cisco-AVPair = "subscriber:policer-rate-in=1000"
...
...
(665) Mon Aug 30 13:37:05 2021: Debug: # Executing group from file /etc/freeradius/3.0/sites-enabled/inner-tunnel
...
(665) Mon Aug 30 13:37:05 2021: Debug: eap_peap: Acct-Interim-Interval = 300
(665) Mon Aug 30 13:37:05 2021: Debug: eap_peap: Cisco-AVPair = "subscriber:policer-rate-in=1000"
....
....
....
(667) Mon Aug 30 13:37:05 2021: Debug: Sent Access-Accept Id 15 from 10.8.8.2:1812 to 10.8.8.1:48267 length 0
(667) Mon Aug 30 13:37:05 2021: Debug: MS-MPPE-Recv-Key = 0x1f367c237eaf3de6ef50885ea55893e9b3d8c2674b74924a15eb2b4b0dec53b4
(667) Mon Aug 30 13:37:05 2021: Debug: MS-MPPE-Send-Key = 0x8b7f4374540419afb3c99ab45c665a1b5c7ee15c320127dd7d822db2ca23cca1
(667) Mon Aug 30 13:37:05 2021: Debug: EAP-Message = 0x030a0004
(667) Mon Aug 30 13:37:05 2021: Debug: Message-Authenticator = 0x00000000000000000000000000000000
(667) Mon Aug 30 13:37:05 2021: Debug: User-Name = "zx12"
(667) Mon Aug 30 13:37:05 2021: Debug: Finished request

Так же при посылке CoA не применяются атрибуты:
cat /main/coa_packet.txt | radclient -r 1 -x 10.8.8.1:1700 coa testing123
авторSent CoA-Request Id 219 from 0.0.0.0:47770 to 10.8.8.1:1700 length 89
User-Name = "zx12"
Calling-Station-Id = "56-8d-4b-fa-61-b4"
Acct-Interim-Interval = 120
Cisco-AVPair = "subscriber:policer-rate-in=500"
Received CoA-ACK Id 219 from 10.8.8.1:1700 to 10.8.8.2:47770 length 20

В дебаге эти атрибуты из COA не виду вообще.

Что не так делаю? как исправить передачу дополнительных атрибутов при аутентификации и при CoA запросах?
...
Рейтинг: 0 / 0
Передача атрибутов в FreeRADIUS, CoA
    #40093987
zxprsl
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
С передачей атрибутов из БД во время создания сессии разобрался

в /etc/freeradius/3.0/mods-enabled/eap


авторeap {
peap {
use_tunneled_reply = yes # Тут включил yes и заработало
}
}

Остальные параметры по умолчанию.


По CoA вопрос остаётся открытом.
Или я не правильно использую этот механизм?
должен ли быть вывод атрибутов в CoA-ACK после выполнения radclient?
...
Рейтинг: 0 / 0
2 сообщений из 2, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Передача атрибутов в FreeRADIUS, CoA
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]