Sujet Précédent Sujet Suivant

Mon radius ne renvoie pas de vlan id

Résolu/Fermé
Haazel - 11 mai 2009 à 15:31
 Haazel - 18 mai 2009 à 09:18
Bonjour,

Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.

Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.

Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyé un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:


Switch:

01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID


Fichier users:

0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2


Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :)

8 réponses

Réponse 1 / 8
Haazel
13 mai 2009 à 09:16
version : 1.188.2.4.2.12

et pour la config du switch j'ai ça :

interface range ethernet g(1-12)
spanning-tree cost 100
exit
vlan database
vlan 2-3
exit
interface range ethernet g(21,23)
switchport access vlan 2
exit
interface vlan 3
dot1x auth-not-req
exit
interface vlan 2
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
interface range ethernet g(1-12)
dot1x port-control auto
exit
ip dhcp snooping vlan 1
ip dhcp snooping vlan 2
ip dhcp snooping vlan 3
interface ethernet g11
dot1x guest-vlan enable
exit
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius
2
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
13 mai 2009 à 19:04
Bonjour,

quand je disais ne pas connaître , je parlais du constructeur telesis et donc la config type ;)

Par contre , je vois qu'au niveau aaa tu as

"aaa authentication dot1x default radius"

Tu as essayé d'ajouter en plus l'authorization via radius ?
0
Haazel > Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016
14 mai 2009 à 09:35
Ah au temps pour moi^^

Pour ce qui est de "l'authorization", je ne peux pas la configurer. Authentication et accounting oui mais pas authorization...
0
Réponse 2 / 8
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
11 mai 2009 à 17:59
Bonjour,

Quand tu regardes les logs de ton radius : les attributs sont biens envoyes dans la réponse ?

Parfois, c'est le dictionnaire qui n'est pas à jour et qui ne contient pas les attributs en question ...
0
Haazel
12 mai 2009 à 09:48
Dans les logs je n'ai rien de très pertinent... :

"Tue May 12 09:17:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon."


Mais ce que je trouve curieux c'est que si dans mon fichier users , au niveau de l'attribut

"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "Vlan 2"

Mo switch me sort :

"Invalid attribute 81 ignored - wrong length"

Donc le switch reconnait pourtant que "Vlan 2" devrait correspondre a un numéro de vlan.
Pour moi ça veut dire qu'il reçoit bien l'information non?
0
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266 > Haazel
12 mai 2009 à 11:44
Logiquement, tu devrais avoir un file log radius qui te log les échanges exactes avec le switch : access-request, response, accounting ....

Mais oui, vu comment ton switch réagit, on peut supposer qu'il reçoit bien l'attribut.

Après, question bête de ma part, tu es bien certain que ces attributs sont gérés/ interprétés par ton switch ?
0
Réponse 3 / 8
Haazel
12 mai 2009 à 13:55
Normalement je l'ai configuré pour de l'authentification mac et, avec

"dot1x radius-attributes vlan"

dans la config je suppose qu'il s'attend à recevoir des info de la part du radius pour attribuer un vlan...
0
Réponse 4 / 8
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
12 mai 2009 à 14:18
Et tu es ok au niveau du type de tes attributs ?


Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2

t'es bien certain que le medium type est un integer et pas une sring du genre 'IEEE-802' ?

Verifie peut être de ce coté là ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Haazel
12 mai 2009 à 14:46
En fait les 2 fonctionnent, d'ailleurs, quand je met

Tunnel-Medium-Type = 6,

En mode débug radius affiche :


rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000157"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0xf6772d56780e0de3672d58d279547e6f
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
modcall[authorize]: module "chap" returns noop for request 5
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 5
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4a096f4b
Nothing to do. Sleeping until we see a request.
0
Haazel
12 mai 2009 à 14:50
Je précise que

Tunnel-Private-Group-Id:0 = "3"

dans le mode débug est normal, j'ai remplacé le numéro de vlan "2" par "3" dans users pour tester si le vlan 2 qui est déja guest vlan ne posait pas problème
0
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266 > Haazel
12 mai 2009 à 18:58
En effet.

Je ne vois pas trop d'où peut provenir le souci.

Ne connaissant pas du tout ton switch et sa config ...

Tu peux aussi être fasse à un bug : version ? ...etc ...
0
Réponse 6 / 8
Haazel
15 mai 2009 à 14:24
C'est bon j'ai trouvé!!! :D

En fait j'ai configuré en eap-md5 et j'ai mis "Auth-type := EAP" et ça marche!!!

Merci pour les conseils^^
0
Réponse 7 / 8
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
15 mai 2009 à 22:36
Une bonne chose alors ! :)

Pas de quoi : c'est toi qui as trouvé la solution hein !!
0
Réponse 8 / 8
Haazel
18 mai 2009 à 09:18
Peut-être mais c'est quand même grâce aux conseils et surtout au soutient moral que j'ai trouvé la solution^^
0

Discussions similaires

Code de renvoi d'appel : Ooredo, Mobilis...
midoou07 -
Camille -

13 réponses
Renvoie code ooredoo
Aicha -
bazfile -

1 réponse
Code Pour Renvoi D'appel Et Mesage
Hermes -
Frandzy -

2 réponses
code de renvoie
Yacine -
Panth33ra -

1 réponse
renvoi d'appel (code ) Mobilis ?
madjid -
baladur13 -

1 réponse