Mac-auth в Облаке?

Question

[Денис Сечин]

Добрый день. Есть задача вести учет выданных ip-адресов пользовательским виртуалкам. Думал обойтись Freeradius, но тут нюанс, мы не можем использовать 8021x по рядку причин. Вопрос может freeradius принимать DHCP-request от пользователя, самостоятельно принимать аргументом из DHCP-request mac пользователя, а потом уже искать его в базе? Спасибо.

Comments

[Дмитрий]

Погуглите ipam for linux

[DVoropaev]

Вы хотите идентифицировать пользователя по Mac-адресу, я правильно понял? В плане безопасности это плохое решение, так как макадрес легко подменить

Answer 1

[Дмитрий Александров]

А чей dhcp сервер? Может с него и дергать удобным\возможным способом?

Comments

[Денис Сечин]

Да можно и дергать, но тогда нужно чтобы dhcp выдавал ip по мак, а эта туевая хуча записей в dhcpd.conf...

[Дмитрий Александров]

Так все же "вести учет выданных ip-адресов пользовательским виртуалкам" или же "нужно чтобы dhcp выдавал ip по мак", это разные вещи. В первом случае нужно просто смотреть кто новый пришел а во втором решать дать или нет ip такому то mac'у.

Тогда вариант городить колхоз парсинга логов и дергания OMAPI.
Еще вариант колхозить вокруг iptables. Т.е. делать какую то такую цепочку:
1)правила разрешения трафика dhcp для конкретных mac.
2)если из цепочки 1 запрос попал сюда то пишем сообщение в лог и пропускаем к следующему пункту.
3)попали сюда, блочим запрос.
Гдето рядом некий колхоз в виде скрипта\утилитки самопальной мониторит лог из п2, парсит его, находит новый mac, спрашивает в БД или где надо и на основе наличия такой записи создает в iptables еще одно разрешающее правило в iptables.

Answer 2

[Руслан Федосеев]

Может.

[root@pppoe-radius1 sites-available]# pwd
/etc/raddb/sites-available
[root@pppoe-radius1 sites-available]# ls -la
total 164
drwxr-x--- 2 root radiusd 4096 Feb 24 2019 .
drwxr-xr-x 7 root radiusd 4096 Sep 24 15:15 ..
-rw-r----- 1 root radiusd 4142 Jul 18 2017 buffered-sql
-rw-r----- 1 root radiusd 1103 Jul 18 2017 coa
-rw-r----- 1 root radiusd 2005 Jul 18 2017 control-socket
-rw-r----- 1 root radiusd 5385 Jul 18 2017 copy-acct-to-home-server
-rw-r----- 1 root radiusd 3551 Jul 18 2017 decoupled-accounting
-rw-r----- 1 root radiusd 18566 Aug 1 2017 default
-rw-r----- 1 root radiusd 19174 Jul 23 2015 default.rpmnew
-rw-r----- 1 root radiusd 7698 Jul 18 2017 dhcp
-rw-r----- 1 root radiusd 1617 Jul 18 2017 dhcp.relay
-rw-r----- 1 root radiusd 7110 Jul 18 2017 dynamic-clients
-rw-r----- 1 root radiusd 3383 Jul 18 2017 example
-rw-r----- 1 root radiusd 12328 Jul 18 2017 inner-tunnel
-rw-r----- 1 root radiusd 5269 Jul 18 2017 originate-coa
-rw-r----- 1 root radiusd 1025 Jul 18 2017 proxy-inner-tunnel
-rw-r----- 1 root radiusd 8543 Jul 18 2017 README
-rw-r----- 1 root radiusd 5100 Jul 18 2017 robust-proxy-accounting
-rw-r----- 1 root radiusd 814 Jul 18 2017 soh
-rw-r----- 1 root radiusd 4077 Feb 24 2019 status
-rw-r----- 1 root radiusd 892 Jul 18 2017 virtual.example.com
-rw-r----- 1 root radiusd 2581 Jul 18 2017 vmps
[root@pppoe-radius1 sites-available]#

Вон, видите? Даже пример dhcp сервера есть)

Comments

[Денис Сечин]

Отлично, принцип работы можно? Клиент просто отсылает DHCP-discover? или ему нужно 8021x настраивать?

[Руслан Федосеев]

https://www.google.com/search?client=firefox-b-d&q...

смотрели же?

Причем тут 802.1x к dhcp? это разные механизмы, работают по разному.

Answer 3

[Валентин]

может freeradius принимать DHCP-request от пользователя, самостоятельно принимать аргументом из DHCP-request mac пользователя, а потом уже искать его в базе?

Конечно нет, это разные службы и протоколы. У операторов используется технология IPoE/ISG. Но тащить такое для учета внутренних пользователей совсем не стоит. Это может быть целесообразно, если у вас коммерческое облако. Но в этом случае такое решается опять же другими инструментами.