adminst
Goto Top

Synology Radius Cisco SG300

Hallo zusammen
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.

Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.

Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?

Danke
adminst

Content-Key: 257595

Url: https://administrator.de/contentid/257595

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 13.12.2014 aktualisiert um 11:11:36 Uhr
Goto Top
Das trägt man in der User Datei des Freeradius ein. Synology nutzt den FreeRadius als Radius Plugin.
Details dazu findest du in diesen Forum Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Mitglied: adminst
adminst 13.12.2014 um 11:26:03 Uhr
Goto Top
Hallo Aqui
Danke dass du mir hilfst.
Vielleicht siehst du gerade was falsch ist:

client.conf :

client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Dictionary ist die dictionary.cisco drin. So wie es aussieht sendet der Radius die shell:priv-lvl=15 nicht mit. Die shell:priv-lvl=15 steht ja für Adminzugriff.
Ich wüsste nicht von wo er das wissen soll, dass er die 15 senden muss und nicht ein anderes Privileg. Die Frage ist nur wie ich das mitgeben kann für die gwünschten User.

Danke
adminst
Mitglied: aqui
aqui 13.12.2014 aktualisiert um 11:44:51 Uhr
Goto Top
Jetzt verstehst du was falsch. Du zeigtst die client.conf die sich ja immer rein nur aufs Device (802.1x Authenticator) im Netz bezieht und mit den Usern nicht das geringste zu tun hat ! Die war ja auch nicht gemeint ! Es ist die users Datei wo die einzelnen .1x User definiert sind in der radius Konfig. Siehe Tutorial !
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch face-wink
Mitglied: adminst
adminst 13.12.2014 um 12:00:46 Uhr
Goto Top
Hallo aqui
Die Client.conf zeigte ich nur, falls da schon etwas falsch sein sollte.
Mir ist nur nicht klar wo ich eintragen muss, dass der User die shell:priv-lvl=15 bekommt. Kommt das vom LDAP daher oder im Radius.
Vorallem, wo ich das Privileg eintragen muss.

Mit der Konfiguration von WLANUsern und Ports habe ich keine Mühe. Jedoch bei diesem Cisco custom priv. ...

Danke und Gruss
adminst
Mitglied: mhappe
mhappe 13.12.2014 um 13:40:23 Uhr
Goto Top
Zitat von @adminst:

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15"

Hat nichts mit 802.1x Authentisierung für die Ports zutun, sonder mit dem Systemlogin (http(s);ssh;serielle Konsole;telnet).
Mitglied: aqui
aqui 13.12.2014 um 14:39:13 Uhr
Goto Top
Richtig !
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Mitglied: adminst
adminst 15.12.2014 um 14:46:32 Uhr
Goto Top
Hallo Aqui
Es geht um den Konfigzugang. Gem. "dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie ".
Portauth. wird irgendwann der zweite Streich sein.

Gruss
adminst
Mitglied: aqui
aqui 15.12.2014 um 15:08:31 Uhr
Goto Top
OK, wenns der Konfig Zugang ist dann ist das richtig !
Das Priviliged Level 15 trägst du dann in der Users ein damit das Pro User der Admin rechte bekommt übergeben wird.
Mitglied: adminst
adminst 15.12.2014 um 15:38:31 Uhr
Goto Top
Hallo Aqui
Was müsste ich in die Users(File) eintragen?
Die Benutzer habe ich im LDAP (Syno). Ich habe bis jetzt nur Beispiele gesehen, welche die User direkt im System hatten.

Danke für deine kompetente Hilfe!
adminst
Mitglied: adminst
adminst 15.12.2014 um 18:05:29 Uhr
Goto Top
Hallo Aqui

Ich habe im LDAP eine Gruppe cisco-admin erstellt und meinen User da hinzugefügt.

Im Users file habe ich folgendes hinzugefügt:
DEFAULT LDAP-Group == "cn=cisco-admin,cn=groups,dc=[domain],dc=ch"
radiusReplyItem: Cisco-AVPair+= "shell:priv-lvl=15"

Client.conf bleibt gleich:
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Log des Radius steht: Auth OK. Einloggen geht immer noch nicht.
Weisst du wo da der Hund begraben liegt?

Danke
adminst
Mitglied: aqui
aqui 18.12.2014 um 19:03:46 Uhr
Goto Top
Starte auf dem Synology eine Shell indem du mit SSH zugreifts.
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Kapitel: Radius Server testen