OSI:WLC/Identity PSK

Z HelpDesk
< OSI:WLC
Verze z 21. 5. 2018, 10:46, kterou vytvořil Simekm (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

Popis metody ověřování zařízení pomocí různých PSK klíčů v jedné WLAN síti.

Identity PSK (IPSK)

Pokud chceme v bezdrátové síti ověřovat zařízení různými identitami, a toto zařízení nepodporuje Enterprise ověřování (EAP), lze využít tzv. Identity PSK (IPSK). Každé zařízení pak bude ověřeno RADIUS serverem na základě své MAC adresy.

Postup vytvoření bezdrátové sítě

  • Vytvoříme novou WLAN
  • Layer 2 Security
    • WPA+WPA2
    • Zapnout MAC Filtering
    • Authentication Key Management PSK a zadat PSK frázi
  • AAA Servers
    • Zadat RADIUS server
  • Advanced
    • Zapnout Allow AAA Override

Nastavení RADIUS serveru

O párování MAC adresa == PSK fráze se stará RADIUS server. Návod odkazuje na Cisco ISE, ale lze použít i FreeRADIUS (testována verze 3.0.12).

  • V adresáři /etc/freeradius/3.0 vytvořit soubor authorized_macs obsahující MAC adresu a unikátní PSK frázi
34-DE-1A-5E-DC-29
        Cisco-AVPair = "psk-mode=ascii",
        Cisco-AVPair += "psk=iot123456789"
  • V adresáři /etc/freeradius/3.0/mods-available vytvořit soubor files.authorized_macs a vytvořil link authorize_macs v adresáři mods-enable
# -*- text -*-
files authorized_macs {
        # The default key attribute to use for matches.  The content
        # of this attribute is used to match the "name" of the
        # entry.
        key = "%{Calling-Station-ID}"

        usersfile = ${confdir}/authorized_macs
}
  • V adresáři /etc/freeradius/3.0/sites-available vytvořit soubor ise s obsahem
server ise {

listen {
        type = auth
        ipaddr = *
        port = 1812
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}

listen {
        type = acct
        ipaddr = *
        port = 1813
        limit {
        }
}

authorize {
#       filter_username
#       filter_password
        preprocess

        # Uppercase Calling-Station-Id
        rewrite_calling_station_id

        # Now check against the authorized_macs file
        authorized_macs

        if (!ok) {
                # No match was found, so reject
                #reject
                # Or accept for default PSK defined on WLC
                accept
        }
        else {
                # The MAC address was found, so update Auth-Type
                # to accept this auth.
                update control {
                        Auth-Type := Accept
                }
        }

        auth_log
        files
        expiration
        logintime
}

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        eap
}

preacct {
        preprocess
        acct_unique
        suffix
        files
}
accounting {
        detail
        unix
        radutmp
        attr_filter.accounting_response
}

session {
        radutmp
}

post-auth {
        reply_log
        remove_reply_message_if_eap

        Post-Auth-Type REJECT {
                attr_filter.access_reject
                eap
                remove_reply_message_if_eap
        }
}

pre-proxy {
}

post-proxy {
        eap
}
}

Odkazy

8.5 Identity PSK Feature Deployment Guide

Video DNA with Mobility - Identity PSK

FreeRADUS Mac Auth

Citováno z „https://helpdesk.zcu.cz/index.php?title=OSI:WLC/Identity_PSK&oldid=53158