Итак, у нас работает EAP-PEAP поверх MSCHAP. Что я хотел бы сделать, так это проверить MAC-адрес, чтобы убедиться, что люди не вводят свои учетные данные в случайные устройства. Я знаю, что SCEP был бы лучшим вариантом, но сейчас мы находимся именно на этом.
Итак, я заметил, что mac-адрес передается FreeRadius под Идентификатор вызывающей станции
(9) Полученный идентификатор запроса доступа 39 от 10.127.87.10:54900 до 10.128.0.13:11812 длина 275
(9) Имя пользователя = "jonathan.fisher"
(9) Идентификатор NAS = "xxttzzbbeezz"
(9) Called-Station-Id = "XX-YY-ZZ-BB-AA-RR:xxx-eap-wifi"
(9) NAS-Port-Type = Wireless-802.11
(9) Service-Type = Framed-User
(9) Идентификатор вызывающей станции = "GG-HH-AA-22-77-PP"
(9) Connect-Info = "ПОДКЛЮЧИТЬ 0 Мбит/с 802.11a"
(9) Acct-Session-Id = "123456asdfaasdf"
(9) WLAN-парный шифр = 1231234
(9) WLAN-Group-Cipher = 1231234
(9) WLAN-AKM-Suite = 1231234
(9) WLAN-Group-Mgmt-Cipher = 1231234
(9) Framed-MTU = 1400
Наша текущая конфигурация LDAP:
ldap {
сервер="ldaps://xxx.xxx.com"
порт=636
тлс {
ca_file=/usr/local/share/ca-certificates/xxx-ca.crt
}
identity="cn=freeradius,ou=роботы,dc=xxx,dc=xxx,dc=com"
password="хранимый секрет"
base_dn="ou=люди,dc=xxx,dc=xxx,dc=com"
пользователь {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
область = 'под'
}
группа {
base_dn="${..base_dn}"
filter='(objectClass=inetOrgPerson)'
членство_атрибут = 'memberOf'
область = 'под'
}
}
Мне любопытно, есть ли комбинация атрибутов и фильтров LDAP, которую кто-либо использовал, чтобы разрешить определенным людям подключаться только с определенными MAC-адресами. Спасибо!
