VLAN dynamique avec Freeradius

VLAN dynamique avec Freeradius - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 05-04-2011 à 14:34:57    

Bonjour,
 
J'ai un petit problème, je vous le soumets.
 
Dans mon réseau, je souhaiterais assigner mes VLAN en fonction des utilisateurs, à l'aide d'un serveur freeradius, configuré de la plus simple des façons : déclaration des utilisateurs en local (sur le fichier user), cryptage en MD5. Le tout avec un switch CISCO 2950.
 
Fichier "user" de Freeradius (déclaration d'un utilisateur de test) :
 
toto Cleartext-password := "test"
         Service-Type = Framed-User,
         Auth-Type := EAP,
         Tunnel-Type = VLAN,
         Tunnel-Medium-Type = 6,
         Tunnel-Private-Group-Id = 18

 
Fichier "clients.conf" de Freeradius (déclaration du switch) :
 
client 10.254.1.1 {
        secret      = test
        shortname   = 10.254.1.1
        nastype     = cisco
}

 
Fichier "eap.conf" de Freeradius (méthode d'authentification) :
 
eap {
        default_eap_type = md5
}

 
 
Sur mon switch, j'ai configuré :
 
aaa new-model
aaa group server radius RadiusServers
 server 10.254.20.180 auth-port 1812 acct-port 1813
 
aaa authentication login default group RadiusServers local
aaa authentication dot1x default group RadiusServers local
aaa authorization exec default group RadiusServers local  
 
dot1x system-auth-control
 
radius-server host 10.254.10.1 auth-port 1812 acct-port 1813 key test

 
Et sur le port de test :
 
interface FastEthernet0/24
 description TEST RADIUS
 switchport mode access
 dot1x pae authenticator
 dot1x port-control auto
 dot1x host-mode multi-host
 dot1x violation-mode protect
 dot1x reauthentication
 dot1x guest-vlan 18

 
Sur mon PC, le supplicant est bien configuré.
Cependant, ça ne fonctionne pas, lorsque je me connecte, je ne suis pas affecté au VLAN 18. Je reste dans le VLAN 1.  
Pourtant, l'authentification 802.1x fonctionne bien puisque, si je mets des mauvais identifiants dans la config de mon supplicant, les ports ne sont pas ouverts. Or là, le switch débloque le port après l'authentification login-password, mais il ne m'attribue pas le VLAN 18. Je suis dans le VLAN 1 (qui est configuré par défaut sur ce port du switch). Pour que je sois affecté au VLAN 18, il faut que je le configure sur le port du switch (switchport access vlan 18). Mais ce n'est pas ce que je veux, puisqu'au final, je voudrais que le VLAN soit attribué en fonction de l'utilisateur... Donc que le switch ne prenne pas en compte le VLAN configuré sur son port, mais le VLAN configuré sur le serveur RADIUS pour l'utilisateur.
 
Sauriez-vous me dire si c'est possible, et où est le problème dans ma conf ?
 
Merci.

Reply

Marsh Posté le 05-04-2011 à 14:34:57   

Reply

Marsh Posté le 14-04-2011 à 19:32:03    

Essaye "Tunnel-Type = 13," à la place de "Tunnel-Type = VLAN," :pt1cable:

Reply

Marsh Posté le 19-04-2012 à 12:01:54    

Bonjour,
 
Dans le cadre d'un projet, je souhaiterais moi aussi faire du VLAN dynamique en fonction des informations que le Freeradius envoie au switch. Je dispose de la même configuration que toi, que ce soit pour le Freeradius ou le Cisco (globalement).
Je précise que j'utilise un Cisco 2960, et que les VLANs nécessaires sont bien créés.
 
As-tu trouvé une solution au problème?
Merci par avance.

Message cité 1 fois
Message édité par simondu43 le 19-04-2012 à 12:05:18
Reply

Marsh Posté le 19-04-2012 à 19:34:54    

simondu43 a écrit :

Bonjour,
 
Dans le cadre d'un projet, je souhaiterais moi aussi faire du VLAN dynamique en fonction des informations que le Freeradius envoie au switch. Je dispose de la même configuration que toi, que ce soit pour le Freeradius ou le Cisco (globalement).
Je précise que j'utilise un Cisco 2960, et que les VLANs nécessaires sont bien créés.
 
As-tu trouvé une solution au problème?
Merci par avance.


 
Pour moi ça fonctionne oui, mais si tu n'es pas plus précis que ça sur le problème que tu rencontre, tu n'aura pas de réponse :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed