Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Synology Radius Cisco SG300

Frage Netzwerke Netzwerkmanagement

Mitglied: adminst

adminst (Level 2) - Jetzt verbinden

13.12.2014 um 11:00 Uhr, 2288 Aufrufe, 11 Kommentare

Hallo zusammen
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.

Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.

Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?

Danke
adminst
Mitglied: aqui
13.12.2014, aktualisiert um 11:11 Uhr
Das trägt man in der User Datei des Freeradius ein. Synology nutzt den FreeRadius als Radius Plugin.
Details dazu findest du in diesen Forum Tutorials:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Bitte warten ..
Mitglied: adminst
13.12.2014 um 11:26 Uhr
Hallo Aqui
Danke dass du mir hilfst.
Vielleicht siehst du gerade was falsch ist:

client.conf :

client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Dictionary ist die dictionary.cisco drin. So wie es aussieht sendet der Radius die shell:priv-lvl=15 nicht mit. Die shell:priv-lvl=15 steht ja für Adminzugriff.
Ich wüsste nicht von wo er das wissen soll, dass er die 15 senden muss und nicht ein anderes Privileg. Die Frage ist nur wie ich das mitgeben kann für die gwünschten User.

Danke
adminst
Bitte warten ..
Mitglied: aqui
13.12.2014, aktualisiert um 11:44 Uhr
Jetzt verstehst du was falsch. Du zeigtst die client.conf die sich ja immer rein nur aufs Device (802.1x Authenticator) im Netz bezieht und mit den Usern nicht das geringste zu tun hat ! Die war ja auch nicht gemeint ! Es ist die users Datei wo die einzelnen .1x User definiert sind in der radius Konfig. Siehe Tutorial !
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Bitte warten ..
Mitglied: adminst
13.12.2014 um 12:00 Uhr
Hallo aqui
Die Client.conf zeigte ich nur, falls da schon etwas falsch sein sollte.
Mir ist nur nicht klar wo ich eintragen muss, dass der User die shell:priv-lvl=15 bekommt. Kommt das vom LDAP daher oder im Radius.
Vorallem, wo ich das Privileg eintragen muss.

Mit der Konfiguration von WLANUsern und Ports habe ich keine Mühe. Jedoch bei diesem Cisco custom priv. ...

Danke und Gruss
adminst
Bitte warten ..
Mitglied: mhappe
13.12.2014 um 13:40 Uhr
Zitat von adminst:

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15"

Hat nichts mit 802.1x Authentisierung für die Ports zutun, sonder mit dem Systemlogin (http(s);ssh;serielle Konsole;telnet).
Bitte warten ..
Mitglied: aqui
13.12.2014 um 14:39 Uhr
Richtig !
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Bitte warten ..
Mitglied: adminst
15.12.2014 um 14:46 Uhr
Hallo Aqui
Es geht um den Konfigzugang. Gem. "dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie ".
Portauth. wird irgendwann der zweite Streich sein.

Gruss
adminst
Bitte warten ..
Mitglied: aqui
15.12.2014 um 15:08 Uhr
OK, wenns der Konfig Zugang ist dann ist das richtig !
Das Priviliged Level 15 trägst du dann in der Users ein damit das Pro User der Admin rechte bekommt übergeben wird.
Bitte warten ..
Mitglied: adminst
15.12.2014 um 15:38 Uhr
Hallo Aqui
Was müsste ich in die Users(File) eintragen?
Die Benutzer habe ich im LDAP (Syno). Ich habe bis jetzt nur Beispiele gesehen, welche die User direkt im System hatten.

Danke für deine kompetente Hilfe!
adminst
Bitte warten ..
Mitglied: adminst
15.12.2014 um 18:05 Uhr
Hallo Aqui

Ich habe im LDAP eine Gruppe cisco-admin erstellt und meinen User da hinzugefügt.

Im Users file habe ich folgendes hinzugefügt:
DEFAULT LDAP-Group == "cn=cisco-admin,cn=groups,dc=[domain],dc=ch"
radiusReplyItem: Cisco-AVPair+= "shell:priv-lvl=15"

Client.conf bleibt gleich:
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Log des Radius steht: Auth OK. Einloggen geht immer noch nicht.
Weisst du wo da der Hund begraben liegt?

Danke
adminst
Bitte warten ..
Mitglied: aqui
18.12.2014 um 19:03 Uhr
Starte auf dem Synology eine Shell indem du mit SSH zugreifts.
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Kapitel: Radius Server testen
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco SG300 Startschleife (13)

Frage von DieOmer zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco SG300 - Kein Routing ins VLAN (4)

Frage von Fluxx1337 zum Thema Router & Routing ...

Router & Routing
gelöst Cisco SG300-10: VLAN und Routing (4)

Frage von niko123 zum Thema Router & Routing ...

LAN, WAN, Wireless
System Meldungen und SNMP Traps verspätet auf Cisco SG300-20 (5)

Frage von fiech93 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...