Mon radius n'envoie pas le numéro de vlan au switch

Bonjour,

Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.

Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.

Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyer un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:


Switch:

01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID


Fichier users:

0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2


Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue

Argh même avec la majuscule ça ne marche toujours pas!

User-Password == "password du compte"
Service-Type = Framed-User,
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = ID du vlan

dans certains cas, il faut indiquer 13 à la place de VLAN

pour la config du switch, je pars du principe que c'est bon (pour du cisco je peux t'aider)

Au départ c'est ce que j'avais mis dans users mais j'avais une erreur du type :"No User-Password or CHAP-Password attribute in the request"

Donc de ce fait j'ai mis "accept" à la place de local. Du coup, le mot de passe n'est plus vraiment utile mais par contre radius renvoie bien un access-accept si l'adresse mac du poste est dans users et access-reject dans le cas contraire.

J'avais déjà essayé avec 13 à la place de VLAN sans meilleur résultat...


Voici ce que j'obtient en mode débug:


rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000017"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0x3804e951d074f910c1d86221256e0b69
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
modcall[authorize]: module "chap" returns noop for request 1
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 0 with timestamp 4a092423
Nothing to do. Sleeping until we see a request.

Argh je fais plus attention à ce que je poste moi^^...

En fait c'est juste qu'en faisant des test j'ai changé le numéro de vlan dans le fichier user pour voir si par hasard le vlan 2 ne posait pas problème vu qu'il est déja le guest vlan et donc quand j'ai posté mon message je n'ai pas pensé remettre le vlan 2.

Donc s'il y a dans mon poste précedent :

Tunnel-Private-Group-Id:0 = "3"

c'est bien parce qu'à ce moment la il y avait

Tunnel-Private-Group-Id = 3

dans users

Je joue la question idiote !
C'est à dire ? Où le configure t'il ?

PS : Comment vas Maith ?

Quand je décommente le module eap j'ai ça


NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "0500001C"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0x1bd9171ed1a526c383f9236e70cd2aa9
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
rlm_eap: EAP packet type response id 0 length 17
rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
modcall[authorize]: module "eap" returns updated for request 0
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 0
modcall: leaving group authorize (returns updated) for request 0
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Service-Type = Framed-User
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 0


C'est grave docteur?

quand tu le fais avec l'utilitaire de test, ça donne quoi ?

vu comme ça je dirai que c'est la config du switch qui est mauvaise

pour la config du switch, de ce que je vois dans la doc c'est assez proche de cisco

à vu de nez (enfin de doc officielle), il faut entre autre ces paramètres :
dot1x mac-authentication mac-and-802.1x
dot1x port-control auto


de plus il faut que le dialogue soit fait en EAP-MD5 (hors dans tes logs il y a un pb au niveau de la conf EAP du client, du switch ou du radius) et bien entendu que les vlans existent

regarde par ici, ça devrait t'aider :
Cisco

ça marche!!!!!!!!

J'ai bien configuré comme tu m'a dit en eap-md5 mais ça marchait toujours pas donc du coup j'ai testé en mettant "Auth-Type :=EAP"
et du coup ça fonctionne!!!

Merci beaucoup en tout cas

C'est vrai que c'est la petite (?) partie qui me manque pour jeter "filairement" les postes indiscrets !

Merci encore et pour le tuto je vais m'en occuper dès que j'aurais un moment^^