Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius VLAN-Zuordnung Fehler

Frage Linux

Mitglied: dragonmaster86

dragonmaster86 (Level 1) - Jetzt verbinden

12.02.2010, aktualisiert 18.10.2012, 5169 Aufrufe, 12 Kommentare, 1 Danke

Ausgabe eines Fehlers beim Ausführen von radiusd

Hallo liebe Mitglieder,

ich nutze die Software "Freeradius" und möchte, dass bestimmte Rechner beim anstöpseln an den Switch per MAC-Adresse authentifiziert und einem bestimmten VLAN zugeordnet werden.

Die Authentifizierung funktioniert auch problemlos nur die Zuordnung eben nicht.

User-Datei

MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"

Bis hier funktioniert alles.

Möchte ich jetzt eine VLAN-Zuordnung vornehmen z.B.:

MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 1

, so bekomme ich schon bei "Tunnel-Type" die Fehlermeldung:

Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " "

Mit "VLAN" statt 13 tritt der Fehler auch auf.

Weiß jemand Rat und kann mir weiterhelfen?

Danke


Gruß dragonmaster86
Mitglied: aqui
12.02.2010, aktualisiert 18.10.2012
Dein Auth Type ist vermutlich falsch !! Switches benutzen oft Standard oder auch EAP für diese Authentisierung. Sollte auch im Handbuch deines Switches stehen !!
Hier steht genau wie es sauber funktioniert mit 802.1x:

http://www.administrator.de/forum/fragen-zu-nas%2c-radius-und-verschied ...

Für die reine Mac Authentifizierung mit dynamischer VLAN Zuweisung sieht eine funktionierende laufende Freeradius Konfig so aus:
01.
# Nur MAC Authentication 
02.
000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"
Mac Authentication mit dynm. VLAN Zuordnung (Hier VLAN ID 7 im Beispiel):
01.
# MAC Auth. und dyn. VLAN 
02.
03.
000039fc9935 Service-Type == Framed-User, User-Password == "000039fc9935" 
04.
    Tunnel-Type = 13, 
05.
    Tunnel-Medium-Type = 6, 
06.
    Tunnel-Private-Group-Id = 7      
07.
#
Alternativ geht das auch:
01.
# user-id (MAC)         Authentication type                   password=MAC 
02.
00054e4d3d08 Auth-Type := Local, User-Password == "00054e4d3d08" 
03.
00186e8dc079 Auth-Type := Local, User-Password == "00186e8dc079"
Erfordert dann aber immer einen lokalen User auf dem System.

Ansonsten immer debuggen mit radiusd -X das zeigt dir immer sofort wo der Fehler liegt ! Ggf. hier posten.
Bitte warten ..
Mitglied: dragonmaster86
19.02.2010 um 12:17 Uhr
Danke erstmal für die Antwort.

Ich habe die Authentifizierung mittlerweile über EAP realisiert.

Leider bekomme ich immer noch den Fehler "Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " " " ,
wenn ich die VLAN-Zuordnung nach folgendem Schema vornehme:

Tunnel-Type = 13 oder Tunnel-Type = VLAN
Bitte warten ..
Mitglied: burge550
23.09.2010 um 14:55 Uhr
Bei der Authentifizierung nur unter Verwendung der MAC Addresse, sprich einstöpseln und danach eine IP bekommen... wie muss ich da den Switch konfigurieren?

  1. Nur MAC Authentication

000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"

Das habe ich eingetragen! Aber weiß nicht was ich am Switch einstellen muss, damit er die MAC Adresse vom Radius Server holt.

Jemand ne Idee???
Bitte warten ..
Mitglied: burge550
23.09.2010 um 16:58 Uhr
Also ich habe es jetzt geschafft, dass ich mich am Radius authentifizieren kann! Und zwar muss man statt == immer := verwenden sonst bekommt man einen Fehler!!!

Ich muss aber im Moment auf meinem Mac und auf meinem Windows Client die Mac-Adresse als Benutzername und als Passwort eingeben, da ein Fenster aufpopt indem man sich legitimieren muss! Kommt mir so vor als ob der Server die Mac Adresse als Benutzer interpretiert und nicht als Mac Adresse.

Wie bekomme ich es hin, dass ich mich ohne Verbindungsdaten (User und PW) authentifizieren kann. Also, dass ich meine MAC Adresse auf dem Radius in der users Datei eintrage und nach dem einstöpseln des Netzwerkkabels ohne zusätzliches Tun eine IP Adresse bekomme???

Bitte helft mir! Aqui sollte das doch wissen oder????
Danke
Bitte warten ..
Mitglied: dragonmaster86
23.09.2010 um 20:23 Uhr
Hallo burge550,

hast du mal versucht den Dienst für die Authentifizierung ==> Automatische Konfiguration (verkabelt) zu deaktivieren?

Für die Authentifizierung per MAC-Adresse wird dieser Dienst nicht benötigt, da der Switch onehin die MAC-Adresse speichert.

Bitte berichte ob es so geklappt hat.
Bitte warten ..
Mitglied: burge550
24.09.2010 um 09:39 Uhr
Hallo Dragonmaster86

Ich habe den Dienst Automatische Konfiguration (verkabelt) deaktiviert. Dann kommt zwar das Popup nicht mehr, aber eine IP bekommt er auch nicht. In den Netzwerkverbindungen steht "nicht identifiziertes Netzwerk".

Ich habe das Gefühl, als ob ich den Switch falsch konfiguriert habe. Was für Konfigurationen muss ich tätigen... oder sind überhaupt welche nötig?

Grüße Markus
Bitte warten ..
Mitglied: dragonmaster86
24.09.2010 um 10:58 Uhr
Die Konfiguration hängt vom Switch ab. Nutzt du einen HP oder Cisco-Switch?

Wichtig ist das die MAC-Authentifizierung auf dem Switch konfiguriert wurde.

Auf einem HP Procurve z.B. "aaa port-access mac-based < port-list >"

HP: http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S2_M ...

Cisco: https://supportforums.cisco.com/docs/DOC-4069
Bitte warten ..
Mitglied: burge550
24.09.2010 um 11:47 Uhr
Ich habe einen AT-8000 GS.

Hast du da auch eine Idee?

Gruß
Bitte warten ..
Mitglied: burge550
24.09.2010 um 21:25 Uhr
Wie du siehst ist das ein AT-9924. WIe oben beschrieben habe ich einen AT-8000S. Die beiden Switche haben komplett andere Befehle, deswegen bringt mir das NULL.

Trotzdem Danke....hatte ich mir auch schon angeschaut
Bitte warten ..
Mitglied: dragonmaster86
24.09.2010 um 23:13 Uhr
Die Befehle sind laut Dokument für die Serie AT-8600,AT-8900 und AT-9900.
Dachte halt deiner kann dann mit den Befehlen auch umgehen.

Schau dir mal hier die Befehle an:

http://www.infos-du-net.com/forum/287066-8-comment-faire-authentificati ...

Da du in diesem Forum schon einen Thread zu dem Thema eröffnet hast (http://www.administrator.de/Freeradius_mit_LDAP_und_802.1x_mit_dynamisc ...),

bitte ich dich auch weiterhin in diesem zu bleiben, damit Nutzer mit ähnlichen Problemen nicht lange suchen müssen.

Gruß

dragonmaster86
Bitte warten ..
Mitglied: burge550
27.09.2010 um 17:03 Uhr
Danke Dragonmaster86
Die Anleitung hat mir sehr geholfen. Es funktioniert jetzt.

Meine Frage wäre nun, wenn ich MAC Authentifizierung und später mal noch was mit LDAP machen möchte. Z.B User/Passwort Anmeldung oder was mit Zertifikaten, kann ich dann die Anmeldung mittels MAC auch noch verwenden oder geht nur eines der Methoden? Wenn es gehen sollte, wäre ich über einen Hinweis wie? sehr dankbar. Muss ich vielleicht dann die MAC Adressen im LDAP anlegen oder? Wäre aber dann schon sehr aufwendig. Oder bin ich da auf dem Holzweg?

Grüße Markus
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...