Deci avem EAP-PEAP peste MSCHAP de lucru. Ceea ce aș dori să fac este să verific adresa MAC, cu scopul de a mă asigura că oamenii nu își pun acreditările pe dispozitive aleatorii. Știu că SCEP ar fi cea mai bună opțiune aici, dar aici ne aflăm acum.
Așa că am observat că adresa mac este transmisă la FreeRadius sub ID-ul stației de apelare
(9) ID-ul cererii de acces primit 39 de la 10.127.87.10:54900 la 10.128.0.13:11812 lungime 275
(9) Nume utilizator = „jonathan.fisher”
(9) NAS-Identifier = „xxttzzbbeezz”
(9) Called-Station-Id = „XX-YY-ZZ-BB-AA-RR:xxx-eap-wifi”
(9) NAS-Port-Type = Wireless-802.11
(9) Service-Type = Utilizator încadrat
(9) Calling-Station-Id = „GG-HH-AA-22-77-PP”
(9) Informații de conectare = „CONECTARE 0Mbps 802.11a”
(9) Acct-Session-Id = „123456asdfaasdf”
(9) WLAN-Pairwise-Cipher = 1231234
(9) WLAN-Group-Cipher = 1231234
(9) WLAN-AKM-Suite = 1231234
(9) WLAN-Group-Mgmt-Cipher = 1231234
(9) Încadrat-MTU = 1400
Configurația noastră actuală LDAP:
ldap {
server="ldaps://xxx.xxx.com"
port=636
tls {
ca_file=/usr/local/share/ca-certificates/xxx-ca.crt
}
identity="cn=freeradius,ou=roboți,dc=xxx,dc=xxx,dc=com"
parola="un secret bine păstrat"
base_dn="ou=people,dc=xxx,dc=xxx,dc=com"
utilizator {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
scope='sub'
}
grup {
base_dn="${..base_dn}"
filter='(objectClass=inetOrgPerson)'
membership_attribute='memberOf'
scope='sub'
}
}
Sunt curios dacă există o combinație de atribute și filtre LDAP pe care cineva le-a folosit pentru a permite anumitor persoane să se conecteze doar la anumite adrese Mac. Mulțumesc!
