Mam skonfigurowanego RADIUSA na WIn 2008, z 2 polisami (jedna do autentyfikacji uzytkoników, którzy chcą się dostac do urządzenia, druga dla użytkoników, który chcą się dostac do wifi). Problem jest w ty, że userzy, którzy chca sie dostac do urządzenia mogą to zrobić. Odpalają putty i używając swoich poświadczeń domenowych mają dostęp do urządzeń. Problem jest z tymi, którzy chcą się dostać do SSID TST, który powinien również autentyfikować userów, którzy sa w grupie odpowiedniej. Jeśli są powinni sie połączyć z siecią.
Poniżej konfiguracja:
Kod: Zaznacz cały
aaa new-model
!
!
aaa group server radius RADSRV
server x auth-port 1812 acct-port 1813
!
aaa group server radius rad_acct
server x auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods group RADSRV local
aaa authorization console
aaa authorization exec default group radius local
aaa authorization network default group RADSRV
aaa accounting send stop-record authentication failure
aaa accounting session-duration ntp-adjusted
aaa accounting update newinfo periodic 15
aaa accounting network default start-stop group RADSRV
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
!
dot11 mbssid
!
!
dot11 ssid TST
vlan 24
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa optional
accounting acct_methods
mbssid guest-mode
power inline negotiation prestandard source
!
!
dot1x timeout reauth-period 300
username x
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
encryption vlan 24 mode ciphers aes-ccm tkip wep128
!
!
ssid TST
!
antenna transmit right
antenna receive left
antenna gain 8
speed basic-1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15.
channel 2412
station-role root
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.24
encapsulation dot1Q 24
no ip route-cache
bridge-group 24
bridge-group 24 subscriber-loop-control
bridge-group 24 block-unknown-source
no bridge-group 24 source-learning
no bridge-group 24 unicast-flooding
bridge-group 24 spanning-disabled
!
interface GigabitEthernet0.24
encapsulation dot1Q 24
no ip route-cache
bridge-group 24
no bridge-group 24 source-learning
bridge-group 24 spanning-disabled
!
interface BVI1
ip address x
no ip route-cache
!
ip default-gateway x
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
line con 0
line vty 0 4
login authentication eap_methods
line vty 5 15
login authentication eap_methods
Sep 10 16:37:46: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating Station 58c3.8b59.f071 Reason: Sending station has left the BSS
Sep 10 16:38:39: %DOT11-7-AUTH_FAILED: Station a088.b417.02b0 Authentication failed
Sep 10 16:39:23: %DOT11-7-AUTH_FAILED: Station a088.b417.02b0 Authentication failed
[quote][/quote]
Kod: Zaznacz cały
Kod: Zaznacz cały