Freeradius + MAC authentication | Wi-Fi

Реализация RADIUS сервера с механизмами проверки MAC адресов

Freeradius mac address authentication ( MySQL )

Ключевые моменты для успешной настройки

ethernet filtering right here

Допустим, есть bare-metal freeradius

sudo apt-get build-dep freeradius
sudo apt-get install freeradius freeradius-mysql

Пляшем от

/etc/freeradius/

Имеем внутри:

clients.conf

#Прописаны адреса/подсети точек доступа
client 10.0.0.0/16 {
  secret = testing123-2
  shortname = private-network-2
}

users

#Прописать логин пароль. Это правило авторизации, даже если
#вы проверяете мак адрес, полюбому нужно спрашивать
#логинпароль
secretUser Cleartext-Password := "StrongPassword"

#Да, plaintext пароль, но у вас все равно проверка по маку

sql.conf

#Не забудьте прописать параметры подключения к бд

policy.conf

#По умолчанию формат MAC адреса aa-aa-aa-aa-aa-aa
#Функцию перезаписи поправьте под нужный

rewrite.calling_station_id {
if((Calling-Station-Id) && "%{Calling-Station-Id}" =~ /^%{config:policy.mac-addr}$/i) {
   update request {
      Calling-Station-Id := "%{1}:%{2}:%{3}:%{4}:%{5}:%{6}"
   }
updated
}
else {
   noop
}
}

sites-available/default

#В секции authorize, preacct добавлен вызов процедуры реформата мака

rewrite.calling_station_id

#В секцию post-auth внедряем проверку
if("%{sql:SELECT COUNT(mac) FROM radmac WHERE mac ='%{Calling-Station-Id}'}" > 0){
ok
} else {
reject
}

Пояснение к последней части, а именно SQL запрос: query построен для базы ‘radmac‘ с единственным полем ‘mac‘. Если встречается хоть единожды MAC адрес клиента в БД — ок. В противном случае — reject

Итого: если все настроено верно, на точке доступа выставлена WPA/WPA2 Enterprise авторизация, она (Access Point) непременно полезет к RADIUS серверу сверять введенные логин пароль, а уже сам freeradius по ходу дела проверит наличие MAC-address клиента в базе.

В следующей части поясняю за freeradius + mysql + 802.1X + LDAP + ethernet authentication

 

Related posts:

1 thought on “Freeradius + MAC authentication | Wi-Fi

  1. Оставляйте свои вопросы и комментарии, для благодарностей внизу есть кнопка)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *