ubuntuusers.de

via DuckDuckGo

Radius - Server konfiguration - Mac-Auth

Status: Ungelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

borekdukales

Anmeldungsdatum:
18. Februar 2017

Beiträge: Zähle...
Zitieren
18. März 2017 17:14

Hallo, habe vor einiger Zeit einen Radius-Server Freeradius Version 2.2.5 aufgesetzt, um ein Wlan mit EAP-TLS zur Verfügung zu stellen. Jetzt versuche ich dieser Anleitung nach, eine Mac-Authentifizierung zu konfigurieren und nur bestimmt Mac-Adressen zu erlauben.

https://wiki.freeradius.org/guide/mac-auth

Mein Problem besteht darin, dass jede (auch nicht angelegte) Mac-Adresse mit Zertifikat sich einloggen kann. Weiss jemand, wie man das anstellt, das dies unterbunden wird ?

Nach der Anleitung klingt das Recht logisch, was da gemacht wird...nur tut der Radius-Server das nicht ☹

Ausgabe vom Radius-Server:

rad_recv: Access-Request packet from host 192.168.20.1 port 56776, id=41, length=243
	User-Name = "nagios"
	NAS-IP-Address = 192.168.10.1
	Called-Station-Id = "64-70-02-XX-XX-XX:alix-wlan"
	NAS-Port-Type = Wireless-802.11
	NAS-Port = 3
	Calling-Station-Id = "4C-34-88-XX-XX-XX"
	Connect-Info = "CONNECT 54Mbps 802.11g"
	Acct-Session-Id = "386D43AE-00000008"
	X-Ascend-Home-Agent-UDP-Port = 1027076
	X-Ascend-Multilink-ID = 1027074
	X-Ascend-Num-In-Multilink = 1027073
	Framed-MTU = 1400

loggt sich ein obwohl diese Mac-Adresse nicht in der authorized_macs file aufgeführt ist.

raptor2101

Anmeldungsdatum:
8. Juni 2009

Beiträge: 1249

Wohnort: Stuttgart, Deutschland
Zitieren
19. März 2017 09:09 (zuletzt bearbeitet: 19. März 2017 09:11)

Ich hab auch einen Radius am laufen aber nie eine MAC AUTH ausprobiert. Prinzipjell, wenn ich probleme mit radius habe, mache ich folgendes: 

 sudo -u freerad freeradius -fxXX

damit bekommst du den Radius in den "sehr geschwätzigen" DebugOutModus und siehst, warum er deinen user ein Auth austellt.

Nach dem durchlesen des config-beispiels schaltest du den Radius in den Entweder MAC Oder TLS Modus. Solange ein Client eine Gültige TLS Verbindung aufbauen kann (cert checks passed) wird MAC ignoriert und umgekehrt, jeder depp kann sich anmelden wenn er seine MAC spoffed.

Prinzipjell: Wenn du TLS benutzt, warum willst du dann auf MAC addresse zurückfallen die prinzipjell gespofft werden kann? Verlass dich doch besser auf Informationen die durch dein CERT gesichert sind... Schau dir mal die hount-groups an, dort kann man auf einzelne Attribute prüfen und es so von Certs und von unspoofbared infos abhängig machen, wer in das netz darf und wer nicht ....
Antworten |