Vì vậy, chúng tôi có EAP-PEAP trên MSCHAP đang hoạt động. Điều tôi muốn làm là kiểm tra Địa chỉ MAC, với mục đích đảm bảo mọi người không đưa thông tin đăng nhập của họ vào các thiết bị ngẫu nhiên. Tôi biết SCEP sẽ là lựa chọn tốt hơn ở đây, nhưng đây là nơi chúng tôi đang ở hiện tại.
Vì vậy, tôi nhận thấy rằng địa chỉ mac được chuyển đến FreeRadius bên dưới Đang gọi-Trạm-Id
(9) Đã nhận Id yêu cầu truy cập 39 từ 10.127.87.10:54900 đến 10.128.0.13:11812 chiều dài 275
(9) Tên người dùng = "jonathan.fisher"
(9) Mã định danh NAS = "xxttzzbbeezz"
(9) Đã gọi-Trạm-Id = "XX-YY-ZZ-BB-AA-RR:xxx-eap-wifi"
(9) Loại cổng NAS = Wireless-802.11
(9) Loại dịch vụ = Người dùng được đóng khung
(9) Đang gọi-Trạm-Id = "GG-HH-AA-22-77-PP"
(9) Thông tin kết nối = "KẾT NỐI 0Mbps 802.11a"
(9) Tài khoản-Phiên-Id = "123456asdfaasdf"
(9) WLAN-Pairwise-Mật mã = 1231234
(9) Mã hóa nhóm mạng WLAN = 1231234
(9) WLAN-AKM-Suite = 1231234
(9) Mạng WLAN-Nhóm-Mgmt-Mật mã = 1231234
(9) Khung-MTU = 1400
Cấu hình LDAP hiện tại của chúng tôi:
ldap {
máy chủ="ldaps://xxx.xxx.com"
cổng = 636
tls {
ca_file=/usr/local/share/ca-certificates/xxx-ca.crt
}
danh tính="cn=freeradius,ou=robots,dc=xxx,dc=xxx,dc=com"
mật khẩu = "một bí mật được giữ kín"
base_dn="ou=people,dc=xxx,dc=xxx,dc=com"
người dùng {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
phạm vi = 'phụ'
}
tập đoàn {
base_dn="${..base_dn}"
bộ lọc='(objectClass=inetOrgPerson)'
thành viên_attribute='thành viên'
phạm vi = 'phụ'
}
}
Tôi tò mò liệu có sự kết hợp giữa các thuộc tính và bộ lọc LDAP mà bất kỳ ai đã sử dụng để cho phép một số người chỉ kết nối với một số địa chỉ mac nhất định hay không. Cảm ơn bạn!
