Mon radius ne renvoie pas de vlan id
Résolu
Haazel
-
Haazel -
Haazel -
Bonjour,
Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.
Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.
Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyé un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:
Switch:
01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID
Fichier users:
0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2
Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :)
Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.
Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.
Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyé un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:
Switch:
01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID
Fichier users:
0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2
Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :)
A voir également:
- Mon radius ne renvoie pas de vlan id
- Vers quelle adresse web renvoie ce lien - Guide
- Id telephone - Guide
- Document id lycamobile ✓ - Forum Mobile
- Https //id.sonyentertainmentnetwork.com/id/management/ ✓ - Forum PS4
- Renvoie d'appel ooredoo - Forum Samsung
8 réponses
version : 1.188.2.4.2.12
et pour la config du switch j'ai ça :
interface range ethernet g(1-12)
spanning-tree cost 100
exit
vlan database
vlan 2-3
exit
interface range ethernet g(21,23)
switchport access vlan 2
exit
interface vlan 3
dot1x auth-not-req
exit
interface vlan 2
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
interface range ethernet g(1-12)
dot1x port-control auto
exit
ip dhcp snooping vlan 1
ip dhcp snooping vlan 2
ip dhcp snooping vlan 3
interface ethernet g11
dot1x guest-vlan enable
exit
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius
et pour la config du switch j'ai ça :
interface range ethernet g(1-12)
spanning-tree cost 100
exit
vlan database
vlan 2-3
exit
interface range ethernet g(21,23)
switchport access vlan 2
exit
interface vlan 3
dot1x auth-not-req
exit
interface vlan 2
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
interface range ethernet g(1-12)
dot1x port-control auto
exit
ip dhcp snooping vlan 1
ip dhcp snooping vlan 2
ip dhcp snooping vlan 3
interface ethernet g11
dot1x guest-vlan enable
exit
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius
Bonjour,
Quand tu regardes les logs de ton radius : les attributs sont biens envoyes dans la réponse ?
Parfois, c'est le dictionnaire qui n'est pas à jour et qui ne contient pas les attributs en question ...
Quand tu regardes les logs de ton radius : les attributs sont biens envoyes dans la réponse ?
Parfois, c'est le dictionnaire qui n'est pas à jour et qui ne contient pas les attributs en question ...
Dans les logs je n'ai rien de très pertinent... :
"Tue May 12 09:17:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon."
Mais ce que je trouve curieux c'est que si dans mon fichier users , au niveau de l'attribut
"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "Vlan 2"
Mo switch me sort :
"Invalid attribute 81 ignored - wrong length"
Donc le switch reconnait pourtant que "Vlan 2" devrait correspondre a un numéro de vlan.
Pour moi ça veut dire qu'il reçoit bien l'information non?
"Tue May 12 09:17:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon."
Mais ce que je trouve curieux c'est que si dans mon fichier users , au niveau de l'attribut
"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "Vlan 2"
Mo switch me sort :
"Invalid attribute 81 ignored - wrong length"
Donc le switch reconnait pourtant que "Vlan 2" devrait correspondre a un numéro de vlan.
Pour moi ça veut dire qu'il reçoit bien l'information non?
Logiquement, tu devrais avoir un file log radius qui te log les échanges exactes avec le switch : access-request, response, accounting ....
Mais oui, vu comment ton switch réagit, on peut supposer qu'il reçoit bien l'attribut.
Après, question bête de ma part, tu es bien certain que ces attributs sont gérés/ interprétés par ton switch ?
Mais oui, vu comment ton switch réagit, on peut supposer qu'il reçoit bien l'attribut.
Après, question bête de ma part, tu es bien certain que ces attributs sont gérés/ interprétés par ton switch ?
Normalement je l'ai configuré pour de l'authentification mac et, avec
"dot1x radius-attributes vlan"
dans la config je suppose qu'il s'attend à recevoir des info de la part du radius pour attribuer un vlan...
"dot1x radius-attributes vlan"
dans la config je suppose qu'il s'attend à recevoir des info de la part du radius pour attribuer un vlan...
Et tu es ok au niveau du type de tes attributs ?
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2
t'es bien certain que le medium type est un integer et pas une sring du genre 'IEEE-802' ?
Verifie peut être de ce coté là ...
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2
t'es bien certain que le medium type est un integer et pas une sring du genre 'IEEE-802' ?
Verifie peut être de ce coté là ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
En fait les 2 fonctionnent, d'ailleurs, quand je met
Tunnel-Medium-Type = 6,
En mode débug radius affiche :
rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000157"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0xf6772d56780e0de3672d58d279547e6f
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
modcall[authorize]: module "chap" returns noop for request 5
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 5
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4a096f4b
Nothing to do. Sleeping until we see a request.
Tunnel-Medium-Type = 6,
En mode débug radius affiche :
rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000157"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0xf6772d56780e0de3672d58d279547e6f
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
modcall[authorize]: module "chap" returns noop for request 5
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 5
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4a096f4b
Nothing to do. Sleeping until we see a request.
C'est bon j'ai trouvé!!! :D
En fait j'ai configuré en eap-md5 et j'ai mis "Auth-type := EAP" et ça marche!!!
Merci pour les conseils^^
En fait j'ai configuré en eap-md5 et j'ai mis "Auth-type := EAP" et ça marche!!!
Merci pour les conseils^^
quand je disais ne pas connaître , je parlais du constructeur telesis et donc la config type ;)
Par contre , je vois qu'au niveau aaa tu as
"aaa authentication dot1x default radius"
Tu as essayé d'ajouter en plus l'authorization via radius ?
Pour ce qui est de "l'authorization", je ne peux pas la configurer. Authentication et accounting oui mais pas authorization...