Є задача : обмежити авторизацію WiFi користувача котрий використовує WPA-Enterprise з можливістю авторизуватися тільки на певній WiFi точці доступу (Access Point).
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".
Для реалізації обмежень можна використовувати radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі Users, Additional RADIUS Attributes (CHECK-ITEM).
В результаті як це записано у файлі конфігурації FreeRadius можна переглянути у розділі View config, Users.
Але для функціонування перевірки атрибута "Called-Station-Id", після авторизації (post auth), якщо використовується аутентифікація EAP-PEAP, EAP-TTLS цього не достатньо. Тому що атрибути автоматично не передаються у вкладенні тунелі EAP, про що написано в описі pfSense (Copy Request to Tunnel - The tunneled authentication request does not usually contain useful attributes like 'Calling-Station-Id', etc.
These attributes are outside of the tunnel, and normally unavailable to the tunneled authentication request.
By setting this configuration entry to 'Yes', any attribute which is not available in the tunneled authentication request,
but which is available outside of the tunnel, is copied to the tunneled request.), та у How to use Calling-Station-Id on a per user basis in freeRADIUS?
Тому необхідно ввімкнути "Copy Request to Tunnel" у розділі EAP.
Після цього авторизація користувача "wifi_test_user" пройде тільки у випадку підключення до визначеної точки доступу "AP1".
Реалізація за допомогою модуля FreeRadius у pfSense.
Тестова WiFi точка доступу (MAC:00-10-A4-23-19-C0) підключена до FreeRadius у розділі NAS/Clients з назвою "AP1".
Для реалізації обмежень можна використовувати radius атрибут: Called-Station-Id.
Атрибут "Called-Station-Id" передається до FreeRadius від WiFi точки доступу під час підключення користувача до точки доступу WiFi.
Якщо запустити FreeRadius в консолі в режимі діагностики: freeradius -x, то можна бачити усі використанні атрибути при підключенні клієнта.
Так для тестової WiFi точки доступу (AP1) атрибут "Called-Station-Id" є "00-10-A4-23-19-C0:AP1".
Перевірку цього атрибута при підключенні користувача можна додати у розділі Users, Additional RADIUS Attributes (CHECK-ITEM).
 |
| Users, Additional RADIUS Attributes (CHECK-ITEM). |
В результаті як це записано у файлі конфігурації FreeRadius можна переглянути у розділі View config, Users.
 |
| View config, Users |
Тому необхідно ввімкнути "Copy Request to Tunnel" у розділі EAP.
 |
| "Copy Request to Tunnel" у розділі EAP. |
Після цього авторизація користувача "wifi_test_user" пройде тільки у випадку підключення до визначеної точки доступу "AP1".
Немає коментарів:
Дописати коментар