Sziasztok!
( Most látom, hogy ez a lista még létezik... XD )
A kérdésem, hogy használ-e vki freeradius-t úgy, hogy
lehessen MAC címekkel egyéb auth nélkül hozzáférést kapni a LAN-hoz,
de ha valaki pl. EAP+TTLS / PAP-pal authentikál, annak ne kelljen
MAC címet regisztrálni.
Ez alapján próbáltam elmenni és a a MAC *ÉS* user auth működik,
de a vagylagos nem... (pontosabban a user része igen, de a csak MAC-es
nem):
https://wiki.freeradius.org/guide/Mac-Auth
Gondolom, a sites-enabled/default ezen része a gyanús:
authorize{
preprocess
# If cleaning up the Calling-Station-Id...
rewrite_calling_station_id
# If this is NOT 802.1x, assume mac-auth. We check this by testing
# for the presence of the EAP-Message attribute in the request.
if (!EAP-Message) {
# Now check against the authorized_macs file
authorized_macs
if (!ok) {
# No match was found
reject
}
else {
# if (ok) .
# The MAC address was found, so update Auth-Type
# to accept this auth.
update control {
Auth-Type := Accept
}
}
}
else {
# Normal FreeRADIUS virtual server config contd.
[...]
}
Persze, az sem teljesen világos, hogy ha szimplán MAC szerint akarok
hozzáférést adni, akkor a kliensben a wifi beállításokban mit kell
megadni... Pl a telefonon csak EAP+(PEAP|TLS|TTLS && MSCHApv2|PAP|etc.)
jön fel, meg különböző azonosítók, ill. CA cert megadása.
TIA,
--
sz@zs
PS: mivel a rendszer használatban van, a probálgatási és debug
lehetőségeim korlátozottak... :-)
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux