MYCSS

1 лютого 2019 р.

Як зробити використовуючи pfSense, FreeRadius, дозвіл на WiFi WPA-Enterprise авторизацію тільки на певній WiFi точці доступу

Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".

Для реалізації обмежень можна використовувати  radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу  під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі  Users, Additional RADIUS Attributes (CHECK-ITEM).



Users, Additional RADIUS Attributes (CHECK-ITEM).

В результаті як це записано у файлі конфігурації FreeRadius можна переглянути у розділі View config, Users.
 

View config, Users
Але для функціонування перевірки атрибута "Called-Station-Id", після авторизації (post auth), якщо використовується  аутентифікація EAP-PEAP, EAP-TTLS цього не достатньо. Тому що атрибути автоматично не передаються у вкладенні тунелі EAP, про що написано в описі pfSense (Copy Request to Tunnel - The tunneled authentication request does not usually contain useful attributes like 'Calling-Station-Id', etc. These attributes are outside of the tunnel, and normally unavailable to the tunneled authentication request. By setting this configuration entry to 'Yes', any attribute which is not available in the tunneled authentication request, but which is available outside of the tunnel, is copied to the tunneled request.), та у How to use Calling-Station-Id on a per user basis in freeRADIUS?
Тому  необхідно ввімкнути "Copy Request to Tunnel" у розділі  EAP.


"Copy Request to Tunnel" у розділі  EAP.

Після цього авторизація користувача "wifi_test_user" пройде тільки у випадку підключення до визначеної точки доступу "AP1".

Немає коментарів:

Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready