Posez votre question Signaler

Mon radius ne renvoie pas de vlan id [Résolu]

Haazel - Dernière réponse le 18 mai 2009 à 09:18
Bonjour,
Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.
Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.
Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyé un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:
Switch:
01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID
Fichier users:
0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2
Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :)
Lire la suite 

Mon radius ne renvoie pas de vlan id »

14 réponses
Réponse
+2
moins plus
Haazel 13 mai 2009 à 09:16
version : 1.188.2.4.2.12

et pour la config du switch j'ai ça :

interface range ethernet g(1-12)
spanning-tree cost 100
exit
vlan database
vlan 2-3
exit
interface range ethernet g(21,23)
switchport access vlan 2
exit
interface vlan 3
dot1x auth-not-req
exit
interface vlan 2
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
interface range ethernet g(1-12)
dot1x port-control auto
exit
ip dhcp snooping vlan 1
ip dhcp snooping vlan 2
ip dhcp snooping vlan 3
interface ethernet g11
dot1x guest-vlan enable
exit
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius

 Ajouter un commentaire
Nico le Vosgien- 13 mai 2009 à 19:04
Bonjour,

quand je disais ne pas connaître , je parlais du constructeur telesis et donc la config type ;)

Par contre , je vois qu'au niveau aaa tu as

"aaa authentication dot1x default radius"

Tu as essayé d'ajouter en plus l'authorization via radius ?
Haazel - 14 mai 2009 à 09:35
Ah au temps pour moi^^

Pour ce qui est de "l'authorization", je ne peux pas la configurer. Authentication et accounting oui mais pas authorization...
Ajouter un commentaire
Réponse
+0
moins plus
Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 11 mai 2009 à 17:59
Bonjour,

Quand tu regardes les logs de ton radius : les attributs sont biens envoyes dans la réponse ?

Parfois, c'est le dictionnaire qui n'est pas à jour et qui ne contient pas les attributs en question ...

 Ajouter un commentaire
Haazel - 12 mai 2009 à 09:48
Dans les logs je n'ai rien de très pertinent... :

"Tue May 12 09:17:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon."


Mais ce que je trouve curieux c'est que si dans mon fichier users , au niveau de l'attribut

"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "Vlan 2"

Mo switch me sort :

"Invalid attribute 81 ignored - wrong length"

Donc le switch reconnait pourtant que "Vlan 2" devrait correspondre a un numéro de vlan.
Pour moi ça veut dire qu'il reçoit bien l'information non?
Nico le Vosgien- 12 mai 2009 à 11:44
Logiquement, tu devrais avoir un file log radius qui te log les échanges exactes avec le switch : access-request, response, accounting ....

Mais oui, vu comment ton switch réagit, on peut supposer qu'il reçoit bien l'attribut.

Après, question bête de ma part, tu es bien certain que ces attributs sont gérés/ interprétés par ton switch ?
Ajouter un commentaire
Réponse
+0
moins plus
Haazel 12 mai 2009 à 13:55
Normalement je l'ai configuré pour de l'authentification mac et, avec

"dot1x radius-attributes vlan"

dans la config je suppose qu'il s'attend à recevoir des info de la part du radius pour attribuer un vlan...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 12 mai 2009 à 14:18
Et tu es ok au niveau du type de tes attributs ?


Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2

t'es bien certain que le medium type est un integer et pas une sring du genre 'IEEE-802' ?

Verifie peut être de ce coté là ...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Haazel 12 mai 2009 à 14:46
En fait les 2 fonctionnent, d'ailleurs, quand je met

Tunnel-Medium-Type = 6,

En mode débug radius affiche :


rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000157"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0xf6772d56780e0de3672d58d279547e6f
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
modcall[authorize]: module "chap" returns noop for request 5
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 5
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4a096f4b
Nothing to do. Sleeping until we see a request.

 Ajouter un commentaire
Haazel - 12 mai 2009 à 14:50
Je précise que

Tunnel-Private-Group-Id:0 = "3"

dans le mode débug est normal, j'ai remplacé le numéro de vlan "2" par "3" dans users pour tester si le vlan 2 qui est déja guest vlan ne posait pas problème
Nico le Vosgien- 12 mai 2009 à 18:58
En effet.

Je ne vois pas trop d'où peut provenir le souci.

Ne connaissant pas du tout ton switch et sa config ...

Tu peux aussi être fasse à un bug : version ? ...etc ...
Ajouter un commentaire
Réponse
+0
moins plus
Haazel 15 mai 2009 à 14:24
C'est bon j'ai trouvé!!! :D

En fait j'ai configuré en eap-md5 et j'ai mis "Auth-type := EAP" et ça marche!!!

Merci pour les conseils^^

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nico le Vosgien 1401Messages postés 23 février 2007Date d'inscription 21 décembre 2011Dernière intervention 15 mai 2009 à 22:36
Une bonne chose alors ! :)

Pas de quoi : c'est toi qui as trouvé la solution hein !!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Haazel 18 mai 2009 à 09:18
Peut-être mais c'est quand même grâce aux conseils et surtout au soutient moral que j'ai trouvé la solution^^

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Mon radius ne renvoie pas de vlan id » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?