Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Synology Radius Cisco SG300

Frage Netzwerke Netzwerkmanagement

Mitglied: adminst

adminst (Level 2) - Jetzt verbinden

13.12.2014 um 11:00 Uhr, 2384 Aufrufe, 11 Kommentare

Hallo zusammen
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.

Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.

Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?

Danke
adminst
Mitglied: aqui
13.12.2014, aktualisiert um 11:11 Uhr
Das trägt man in der User Datei des Freeradius ein. Synology nutzt den FreeRadius als Radius Plugin.
Details dazu findest du in diesen Forum Tutorials:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Bitte warten ..
Mitglied: adminst
13.12.2014 um 11:26 Uhr
Hallo Aqui
Danke dass du mir hilfst.
Vielleicht siehst du gerade was falsch ist:

client.conf :

client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Dictionary ist die dictionary.cisco drin. So wie es aussieht sendet der Radius die shell:priv-lvl=15 nicht mit. Die shell:priv-lvl=15 steht ja für Adminzugriff.
Ich wüsste nicht von wo er das wissen soll, dass er die 15 senden muss und nicht ein anderes Privileg. Die Frage ist nur wie ich das mitgeben kann für die gwünschten User.

Danke
adminst
Bitte warten ..
Mitglied: aqui
13.12.2014, aktualisiert um 11:44 Uhr
Jetzt verstehst du was falsch. Du zeigtst die client.conf die sich ja immer rein nur aufs Device (802.1x Authenticator) im Netz bezieht und mit den Usern nicht das geringste zu tun hat ! Die war ja auch nicht gemeint ! Es ist die users Datei wo die einzelnen .1x User definiert sind in der radius Konfig. Siehe Tutorial !
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Bitte warten ..
Mitglied: adminst
13.12.2014 um 12:00 Uhr
Hallo aqui
Die Client.conf zeigte ich nur, falls da schon etwas falsch sein sollte.
Mir ist nur nicht klar wo ich eintragen muss, dass der User die shell:priv-lvl=15 bekommt. Kommt das vom LDAP daher oder im Radius.
Vorallem, wo ich das Privileg eintragen muss.

Mit der Konfiguration von WLANUsern und Ports habe ich keine Mühe. Jedoch bei diesem Cisco custom priv. ...

Danke und Gruss
adminst
Bitte warten ..
Mitglied: mhappe
13.12.2014 um 13:40 Uhr
Zitat von adminst:

Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15"

Hat nichts mit 802.1x Authentisierung für die Ports zutun, sonder mit dem Systemlogin (http(s);ssh;serielle Konsole;telnet).
Bitte warten ..
Mitglied: aqui
13.12.2014 um 14:39 Uhr
Richtig !
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Bitte warten ..
Mitglied: adminst
15.12.2014 um 14:46 Uhr
Hallo Aqui
Es geht um den Konfigzugang. Gem. "dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie ".
Portauth. wird irgendwann der zweite Streich sein.

Gruss
adminst
Bitte warten ..
Mitglied: aqui
15.12.2014 um 15:08 Uhr
OK, wenns der Konfig Zugang ist dann ist das richtig !
Das Priviliged Level 15 trägst du dann in der Users ein damit das Pro User der Admin rechte bekommt übergeben wird.
Bitte warten ..
Mitglied: adminst
15.12.2014 um 15:38 Uhr
Hallo Aqui
Was müsste ich in die Users(File) eintragen?
Die Benutzer habe ich im LDAP (Syno). Ich habe bis jetzt nur Beispiele gesehen, welche die User direkt im System hatten.

Danke für deine kompetente Hilfe!
adminst
Bitte warten ..
Mitglied: adminst
15.12.2014 um 18:05 Uhr
Hallo Aqui

Ich habe im LDAP eine Gruppe cisco-admin erstellt und meinen User da hinzugefügt.

Im Users file habe ich folgendes hinzugefügt:
DEFAULT LDAP-Group == "cn=cisco-admin,cn=groups,dc=[domain],dc=ch"
radiusReplyItem: Cisco-AVPair+= "shell:priv-lvl=15"

Client.conf bleibt gleich:
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}

Im Log des Radius steht: Auth OK. Einloggen geht immer noch nicht.
Weisst du wo da der Hund begraben liegt?

Danke
adminst
Bitte warten ..
Mitglied: aqui
18.12.2014 um 19:03 Uhr
Starte auf dem Synology eine Shell indem du mit SSH zugreifts.
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Kapitel: Radius Server testen
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Win Server 2012 R2 NPS in Verbindung mit einem Cisco SG300 (4)

Frage von mario87 zum Thema Netzwerkmanagement ...

Netzwerkgrundlagen
gelöst Cisco SG300 mit VLANs und Fritzbox (8)

Frage von vinzgreg zum Thema Netzwerkgrundlagen ...

Netzwerkmanagement
gelöst DHCP relay an Cisco SG300 (15)

Frage von Maik82 zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (33)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Netzwerke
VPN-Server einrichten PPTPD-Einrichtung gescheitert (14)

Frage von MIlexx zum Thema Netzwerke ...