авторизация по MAC

Установка, настройка, поддержка
Ответить
den
Сообщения: 5
Зарегистрирован: Ср мар 31, 2010 10:53 am

авторизация по MAC

Сообщение den »

Добрый день.

Хочу авторизовать по MAC.
Имеем mikrotik dhcp сервер.
получаем от него

Код: Выделить всё

rad_recv: Access-Request packet from host 10.X.X.X:43792, id=96, length=112
        NAS-Port-Type = Ethernet
        NAS-Port = 2209349641
        Calling-Station-Id = "1:0:11:5b:42:14:59"
        Called-Station-Id = "dhcp1"
        User-Name = "00:11:5B:42:14:59"
        User-Password = ""
        NAS-Identifier = "MikroTik"
        NAS-IP-Address = 10.X.X.X
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 10
  modcall[authorize]: module "preprocess" returns ok for request 10
    users: Matched entry DEFAULT at line 152
  modcall[authorize]: module "files" returns ok for request 10
modcall: leaving group authorize (returns ok) for request 10
  rad_check_password:  Found Auth-Type Accept
  rad_check_password: Auth-Type = Accept, accepting the user
radius_xlat:  '/usr/abills/libexec/rauth.pl'
Exec-Program: /usr/abills/libexec/rauth.pl
Exec-Program output: Reply-Message = "Login Not Exist or Expire"
Exec-Program-Wait: value-pairs: Reply-Message = "Login Not Exist or Expire"
Exec-Program: returned: 1
Delaying request 10 for 1 seconds
Finished request 10
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
rad_recv: Access-Request packet from host 10.X.X.X:43792, id=96, length=112
Sending Access-Reject of id 96 to 10.X.X.X port 43792
        Reply-Message = "Login Not Exist or Expire"
если прописывать mac в поле cid, то все равно он проверяется только как дополнение к login/pass, если прописать тип nas auth_mac тоже толка нет, подскажите как быть?

yariks7
Сообщения: 10
Зарегистрирован: Вт мар 30, 2010 12:41 pm

Re: авторизация по MAC

Сообщение yariks7 »

den писал(а):Добрый день.

Хочу авторизовать по MAC.
Имеем mikrotik dhcp сервер.
получаем от него

Код: Выделить всё

rad_recv: Access-Request packet from host 10.X.X.X:43792, id=96, length=112
Exec-Program-Wait: value-pairs: Reply-Message = "Login Not Exist or Expire"
Sending Access-Reject of id 96 to 10.X.X.X port 43792
        Reply-Message = "Login Not Exist or Expire"
если прописывать mac в поле cid, то все равно он проверяется только как дополнение к login/pass, если прописать тип nas auth_mac тоже толка нет, подскажите как быть?
У меня аналогичная проблема.

Когда использовал freeradius без привязки к abills , то Mac-Auth работал по простой схеме

в mysql базу radcheck вносились записи вида
username | attribute | op | value
00-xx-yy-zz-AF-5B | User-Password | := | 00-xx-yy-zz-AF-5B

Когда я попытался такую схему применить в abills, то при попытке добавить юзера с именем 00-xx-yy-zz-AF-5B
abills ругается даже если увеличить MAX_USERNAME_LENGTH до 18

den
Сообщения: 5
Зарегистрирован: Ср мар 31, 2010 10:53 am

Re: авторизация по MAC

Сообщение den »

написал свой модулек, все работает :)
беру списочек пар ip-mac из таблиц модуля dhcphosts.
отдаю микротику по радиусу, он выдает ip адрес.
можно еще дописать автоматом установку шейпера (Mikrotik-Rate-Limit)
но мне это не подходит, т.к. на одном эккаунте бывает несколько ip (под одним шейпером).
нада еще сделать выдачу подсетки для неплательщиков и заворот на страницу "дай денег" :)
Последний раз редактировалось den Пт апр 02, 2010 11:46 am, всего редактировалось 1 раз.

den
Сообщения: 5
Зарегистрирован: Ср мар 31, 2010 10:53 am

Re: авторизация по MAC

Сообщение den »

с отрицательным балансом поступил пока просто
отдаю микротику Framed-Pool = "unauth", а в пуле anauth выдаются нужные адреса.

yariks7
Сообщения: 10
Зарегистрирован: Вт мар 30, 2010 12:41 pm

Re: авторизация по MAC

Сообщение yariks7 »

den писал(а): если прописывать mac в поле cid, то все равно он проверяется только как дополнение к login/pass, если прописать тип nas auth_mac тоже толка нет, подскажите как быть?

написал свой модулек, все работает :)
беру списочек пар ip-mac из таблиц модуля dhcphosts.
отдаю микротику по радиусу, он выдает ip адрес.
можно еще дописать автоматом установку шейпера (Mikrotik-Rate-Limit)
но мне это не подходит, т.к. на одном эккаунте бывает несколько ip (под одним шейпером).
нада еще сделать выдачу подсетки для неплательщиков и заворот на страницу "дай денег" :)
Прописываеш mac в поле cid или в поле login/pass ?

den
Сообщения: 5
Зарегистрирован: Ср мар 31, 2010 10:53 am

Re: авторизация по MAC

Сообщение den »

yariks7 писал(а):Прописываеш mac в поле cid или в поле login/pass ?
уже прописываю в таюлицы dhcphosts

yariks7
Сообщения: 10
Зарегистрирован: Вт мар 30, 2010 12:41 pm

Re: авторизация по MAC

Сообщение yariks7 »

пытался подключить и настроить dhcphosts
- но в меню DHCP так и не появился и dhcp_tools.pl нигде найти не могу :(

den
Сообщения: 5
Зарегистрирован: Ср мар 31, 2010 10:53 am

Re: авторизация по MAC

Сообщение den »

yariks7 писал(а):пытался подключить и настроить dhcphosts
- но в меню DHCP так и не появился и dhcp_tools.pl нигде найти не могу :(
если вопрос актуален, стукнись в аську 58082871.
моя схема такова

в таблицы dhcphosts забиваются mac-ip юзеров
ip выдает микротик, получая по радиусу от биллинга
dhcp в нужный vlan транслируется циской ip helper-address
микротик же выступает в роли шейпера, queues забиты статиком.
на доступе dhcp snooping + ip mac bind

j.korvin
Сообщения: 2
Зарегистрирован: Пт сен 23, 2011 4:36 am

Re: авторизация по MAC

Сообщение j.korvin »

Здравствуйте, подскажите возможно ли авторизация пользователя только по МАК адресу. Мне нужно авторизоваться по Calling-Station-Id = без логина и пароля.
Когда авторизуются пользователи то получают ошибку

Код: Выделить всё

Reply-Message = "Login Not Exist or Expire" 
и в радиусе

Код: Выделить всё

Auth: Invalid user: [<no User-Name attribute>/] (from client
Вот что приходит на радиус.

Код: Выделить всё

NAS-IP-Address = 87.254.65.10
NAS-Identifier = "kv-po-isn"
NAS-Port-Type = Virtual
Acct-Status-Type = Stop
Called-Station-Id = "domain.com.ua"
Calling-Station-Id = "38035322565"
Acct-Session-Id = "50ff47f823afc697"
Acct-Multi-Session-Id = "50ff47f811c1e2d9"
Acct-Link-Count = 1
Framed-IP-Address = 10.10.1.20
Service-Type = Framed-User
Framed-Protocol = GPRS-PDP-Context
Acct-Authentic = RADIUS
Acct-Terminate-Cause = User-Request
X-Ascend-PRI-Number-Type = 8
3GPP-IMSI = "255056533608138"
3GPP-GGSN-Address = 81.23.71.255
3GPP-SGSN-Address = 81.23.76.244
3GPP-PDP-Type = 0
3GPP-IMSI-MCC-MNC = "25501"
3GPP-Charging-ID = 598722199
3GPP-GPRS-Negotiated-QoS-profile = "99-23621F939673737483FFFF"
3GPP-SGSN-MCC-MNC = "25501"
3GPP-Selection-Mode = "0"
3GPP-Charging-Characteristics = "0800"
3GPP-Attr-21 = 0xff
3GPP-NSAPI = "5"
3GPP-Session-Stop-Indicator = 0xff
Nokia-Requested-APN = "apn.domain.com"
Acct-Session-Time = 80617
Acct-Input-Octets = 716162
Acct-Output-Octets = 330700
Acct-Input-Packets = 1971
Acct-Output-Packets = 1776
Acct-Input-Gigawords = 0
Acct-Output-Gigawords = 0
Acct-Unique-Session-Id = "d2bd0ee02731aa60"
Timestamp = 1316709976
Request-Authenticator = Verified

j.korvin
Сообщения: 2
Зарегистрирован: Пт сен 23, 2011 4:36 am

Re: авторизация по MAC

Сообщение j.korvin »

Я так понял что такой метод не передерживается да ?

Ответить