Авторизация свитчей на Radius?

Question

[Кирилл Рыбаков]

Добрый день, Хабр!

Хочу протестировать (но не получается) возможность аутентификации и аккаунтинга свитчей (D-link 3526, прошивка 6.10.023) на Radius- сервере (Freeradius 2.1.0 на Ubuntu 11.04).
читать дальше

По задумке должна сработать следующая схема:

1.Абонент посылает IGMP-Join.

2.свитч видит это и направляет на Radius-сервер сообщение с аутентификацией (в качестве логина и пароля мак адрес абонента).

3.Radius-сервер отвечает свитчу, что аутентификация прошла успешно и свитч начинает лить мультикастный поток на порт абонента.

4.Периодически и при переключении канала свитч отсылает Radius- серверу сообщения, содержащие инфу для аккаунтинга.


Цель — учёт использования абонентами каналов. По сути нужен только аккаунтинг.


НО! Досада в том, что аутентификация не проходит и соответственно, аккаунтинг не происходит.


Текст ошибки в логах радиуса ():

Wed Jun 22 16:21:23 2011 : Auth: Login incorrect: [001617122639/001617122639] (from client D-link port 20) <br/>

Стало быть, логин не верный)))


Однако, в файле Users я создал этот логин:

001617122639 Cleartext-Password := "001617122639", NAS-Port == 20, Framed-IP-Address == "239.0.0.1", NAS-IP-Address == "10.10.0.1"

также вывод sudo freeradius -X даёт следующее (такую фигню присылает свитч, что я и ожидал...):

..............<br/>
User-Name = &quot;001617122639&quot;<br/>
User-Password = &quot;001617122639&quot;<br/>
NAS-IP-Address = 10.10.0.1<br/>
NAS-Identifier = &quot;D-Link&quot;<br/>
NAS-Port-Type = Virtual<br/>
Service-Type = Framed-User<br/>
Framed-Protocol = PPP<br/>
NAS-Port = 20<br/>
Framed-IP-Address = 239.0.0.1<br/>
..............

Мои размышления и дополнения следующие:

1. Судя по логам и по тому, что логин и пароль передаются верно, грешу на вид записи в файле Users. Однако, я пробовал заключать в кавычки, пробовал писать в столбец — одно и то же.

2. Соответственно, каждый раз после изменения настроек перезапускаю службу.

3. С нецифровым логином аутентификация проходит.

4. Пробовал тестить с помощью утилитки radtest и этим логином и паролем — ошибка та же.

5. Пробовал, хотя немного, проделать то же с виндовой утилитой radl, также аутентификация не проходит.

6. Да, и смотря дамп трафика, вижу, также, что приходит на сервер вроде всё верно (как в выводе freeradius -X).

Господа, прошу помощи! Спасибо.

Comments

[strib]

tcpdump обмена пакетиками покажите

[strib]

и конфиги тоже.

Answer 1

[metajiji]

проверьте, чтобы files был в:
authorize {
...
files
...
}
accounting {
...
files
...
attr_filter.accounting_response # стоит проверить, мб. что-то нужно подкрутить.
}

А вообще было бы неплохо увидеть полный вывод команды freeradius -X вместе с 1 попыткой авторизации.