Radius Abfrage für WLAN Controller in 10.40 RU1 PROBLEM

[otellodb]

Hallo zusammen,
nach dem Upgrade auf 10.40 RU1 haben wir hier folgenes Phänomen:

Zur Authentifierung der MAC Adressen der AP'S ist das Gesamtsystem so eingestellt, dass wie nach Anleitung beschrieben die AP's per RADIUS gegen Benutzerkonten des RADIUS Servers im WLC prüfen. Das hat bis 10.32 auch perfekt funktioniert.

Nun folgende Feststellung. Der Radius Server akzeptiert die Anmeldung eines Clients, was man in folgendem Trace sieht:

[RADIUS-Server] 2020/08/29 12:36:17,852 Devicetime: 2020/08/29 12:36:17,826
Received RADIUS Authentication Request request 24 from client 192.168.22.14:12009[INTRANET]:
-->known attributes of request:
User-Name : e0c767-b17734
User-Password : e0c767-b17734
Service-Type : Framed
NAS-Identifier : dbwireless04
NAS-IP-Address : 192.168.22.14
NAS-Port : 1
NAS-Port-Id : 1
NAS-Port-Type : Wireless-802.11
Called-Station-Id : 00-A0-57-25-19-15:madag_wifi_net
Calling-Station-Id : E0-C7-67-B1-77-34
Message-Authenticator: a5 36 8c 3e 86 9e f4 15 .6.>....
83 41 83 74 5e 91 41 71 .A.t^.Aq
Connect-Info : CONNECT 433 Mbps 802.11ac
WLAN-Pairwise-Cipher: WPA-CSE-CCMP
WLAN-Group-Cipher : WPA-CSE-CCMP
WLAN-AKM-Suite : WPA-AUTHSE-PSK
WLAN-RF-Band : 4.9-and-5-GHz
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'e0c767-b17734' in database(s)
-->authenticating via PAP
--->password match
-->response type is Accept, response attributes:
Reply-Message : db iphone SE
-->sending response


obwohl in der Radius Anzeige der User deaktiviert ist. Was man hier sieht:

Aus E0C767-B17734 An * 0 iphoneDBSE Beliebig An An An An An 0 0 0 * *

Woran kann das liegen? Was hat sich da geändert?

Danke für jede Info.

Gruß

otellodb

[alf29]

Moin,

ich habe hier probeweise einmal einen WLC mit einer 10.40RU1 bestückt und einen Eintrag in der RADIUS-Benutzertabelle für eine MAC-Adresse ein- und ausgeschaltet - funktioniert einwandfrei. Sobald man 'active' auf 'No' stellt, gibt es ein Reject. Geändert hat sich in der Hinsicht von einer 10.34 zu einer 10.40 auch nichts.

Aus E0C767-B17734 An * 0 iphoneDBSE Beliebig An An An An An 0 0 0 * *

Ich kenne die Sortierung der Spalten im LANconfig nicht 100%, aber wenn ich es richtig überblicke, bedeutet das zweite 'An', daß der Benutzername für diesen Eintrag *case-sensitiv* ist. Bei einer RADIUS-Anfrage mit dem Benutzernamen

-->known attributes of request:
User-Name : e0c767-b17734
User-Password : e0c767-b17734
....

greift dieser Eintrag also so oder so nicht. Ich tippe mal, Du hast noch einen weiteren Eintrag für diese Adresse mit anderer Groß/Kleinschreibung in der Tabelle stehen. Der muß übrigens gar nicht in der RADIUS-Benutzertabelle selber stehen, der RADIUS-Server auf einem WLC wertet auch die WLAN-Statiostabelle aus.

Viele Grüße

Alfred

[otellodb]

Hallo zusammen,

das mit der Stationstabelle war aber früher nicht so.
Auf den AP's gibt es einen Eintrag:

WLAN-Stations-Tabelle bei MAC-Adresse-Anfragen nutzen

der offensichtlich standardmäßig aktiviert ist. Davon ist auf dem WLC Radius Server nichts zu sehen.
Somit ist das Verhalten klar, da die Stationstabelle die Einträge auch enthält.
Wann ist das hinzu gekommen ?
Jetzt ist alles verständlich und ich kann die ganzen RADIUS Einträge entfernen.

Danke.

[alf29]

Moin,

das mit der Stationstabelle auf WLCs? Das war schon immer so. Ein WLC selber hat ja gar keine WLAN-Schnittstelle, der einzige Nutzer der Tabelle auf dem WLC ist der RADIUS-Server. Deshalb gibt es auch den Schalter auf dem WLC nicht.

Daß das mit einer älteren Firmware auf einem WLC anders gewesen sein soll, glaube ich nicht so recht, bis es mir jemand zeigt

Viele Grüße

Alfred