in einem LAB-Aufbau zur Vorbereitung für ein Kundenprojekt habe ich eine Verständnisfrage. Konfiguriert ist eine WLAN SSID mit 802.1x gegen ein Windows NPS. Die Authentifizierung am WLAN klappt einwandfrei.
Nun soll zusätzlich das Accounting an eine zentrale Firewall (FortiGate) übertragen werden, um über die Accounting-Informationen die Autorisierung innerhalb des Firewall-Regelwerks zu erreichen.
Folgende IPs sind in Verwendung:
NPS: 192.168.111.253
Lancom AP: 192.168.111.252
Fortgate: 192.168.111.251
Der Lancom Accesspoint überträgt die RADIUS Accounting-Informationen an die Firewall, jedoch scheint er dabei ein RADIUS-Attribut zu verschlucken. Konkret geht es um das RADIUS Attribut 26 (Class), über welches eine Gruppenmitgliedschaft übertragen werden soll. Im Windows NPS ist das Attribut konfiguriert und wird in der RADIUS Access-Accept Message auch korrekt dargestellt.
Die RADIUS Access-Accept Message sieht wie folgt aus:
Code: Alles auswählen
[RADIUS-Client] 2018/10/24 14:09:18,246 Devicetime: 2018/10/24 14:09:17,978
Received RADIUS Accept Id 237 from 192.168.111.253 on Port 13712
-->found corr. request 237 to 192.168.111.253:1812,
[b] Class : Gruppe1[/b]
Framed-Protocol : PPP
Service-Type : Framed
EAP-Message:
(4 bytes)
-->EAP Header
EAP Packet Code : Success
EAP Packet Id : 10
EAP Packet Len : 4
Class:
0000: e3 50 0b 5a 00 00 01 37 00 01 02 00 c0 a8 6f fd .P.Z...7......o.
0010: 00 00 00 00 a5 bc 2b 34 ae 77 7c f4 01 d4 60 8e ......+4.w|...`.
0020: 42 43 b8 bd 00 00 00 00 00 00 02 36 BC.........6
Vendor 311 Type 14:
0000: 00 00 00 32 ...2
Vendor 311 Type 15:
0000: 00 00 00 78 ...x
Vendor 311 Type 10:
0000: 01 4c 41 42 .LAB
MS-CHAP2-Success:
0000: 01 53 3d 44 34 39 36 34 32 46 36 46 41 46 37 45 .S=D49642F6FAF7E
0010: 36 37 31 37 31 42 45 43 34 31 32 35 34 44 37 37 67171BEC41254D77
0020: 31 42 43 32 33 39 33 32 39 41 39 1BC239329A9
MS-MPPE-Send-Key:
0000: f7 0d 1d c9 31 64 a5 87 b4 7f 9f 8f 87 45 60 4d ....1d.......E`M
0010: 5e a7 35 83 d4 14 4e ab a5 4b b3 bb 2d 4c 6c 4e ^.5...N..K..-LlN
MS-MPPE-Recv-Key:
0000: 38 c4 00 6e 21 22 47 8b 8b db f2 25 09 9a c3 59 8..n!"G....%...Y
0010: 44 5d 50 c6 7f 5a 51 2b 6b 4d f6 93 91 4d 5e 09 D]P..ZQ+kM...M^.
Message-Authenticator:
0000: 57 6a 44 63 6e a2 db 72 bb 20 8e 58 8b 28 3f 67 WjDcn..r. .X.(?g
-->trigger requester
Code: Alles auswählen
[RADIUS-Client] 2018/10/24 14:09:18,261 Devicetime: 2018/10/24 14:09:18,079
Send RADIUS Accounting Request Id 238 to 192.168.111.251:1813 Backup-Step 1 Retry 0
Acct-Status-Type : Start
User-Name : lab\np
Called-Station-Id : 00-A0-57-21-BA-89:DP_Test_Forti
NAS-Port-Type : Wireless - IEEE 802.11
WLAN-RF-Band : 2.4 GHz
Service-Type : Framed
NAS-Port : 1
NAS-Port-Id : 1
Calling-Station-Id : 78-7B-8A-5F-F6-85
Connect-Info : CONNECT 144 Mbps 802.11g/n
WLAN-Pairwise-Cipher: TGI-CSE-CCMP
WLAN-Group-Cipher : TGI-CSE-CCMP
WLAN-AKM-Suite : TGI-AUTHSE-8021X
Framed-IP-Address : 192.168.111.15
Acct-Session-Id : 787b8a5ff685-213590365
NAS-IP-Address : 192.168.111.252
Authenticator:
0000: b8 57 6c ab 03 75 bc b5 57 54 ad 3c b8 60 e4 63 .Wl..u..WT.<.`.c
Vielen Dank vorab.
Grüße,
Norman.