mam taki problem z autentykacją klientów wireless.
Obecnie mamy rozwiązanie, w którym pracownicy dostają się do sieci korporacyjnej przez Cisco AP 1200 (listing poniżej) - konkretnie 3 sztuki.
Uwierzytelnianie odbywa się poprzez Cisco ACS RADIUSA (PEAP/EAP-TLS) z certyfikatem. Hasło odpytywane jest z Windows AD.
Trzeba teraz utworzyć nowy SSID dla gości, żeby dostawali się do sieci wyłącznie na podstawie przyznawanego im hasła (bez certyfikatow).
Konkretniej mówiąc, klienci powinni się autentykować z wewnętrzną bazą użytkowników obecnego RADIUSA.
Asocjacja klientow z access pointem działa, zresztą jeśli ustawię authentication open, to wszystko funkcjonuje.
Żeby było jeszcze prościej, pomijam kwestie VLANów na AP. Stawiam osobny AP z jednym SSIDem Guest, który w RADIUSie jest widziany jako
klient w innej podsieci.
Pomimo weekendu spędzonego na dokumacji Cisco i googlach dalej nie wiem jak ustawić AP i Radiusa.
Jak zawsze, za wszelkie sugestie pozastaję dozgonnie wdzięczny
Kod: Zaznacz cały
Current configuration : 2802 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ...
!
enable secret ...
!
ip subnet-zero
no ip domain lookup
ip domain name ...
!
!
aaa new-model
!
!
aaa group server radius rad-eap2
server ... auth-port 1645 acct-port 1646
server ... auth-port 1645 acct-port 1646
!
aaa authentication login eap-methods2 group rad-eap2
aaa authentication login AUTHEN group tacacs+ local
aaa authorization exec AUTHOR group tacacs+ local
aaa authorization commands 0 AUTHOR group tacacs+
aaa authorization commands 1 AUTHOR group tacacs+
aaa authorization commands 15 AUTHOR group tacacs+
aaa accounting commands 15 ACCOUNT start-stop group tacacs+
aaa session-id common
!
dot11 ssid KORPORACYJNY
authentication open eap eap-methods2
authentication network-eap eap-methods2
authentication key-management wpa
!
dot11 network-map
!
!
username ... password ...
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
ssid KORPORACYJNY
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
antenna receive right
antenna transmit right
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 80 in
!
interface BVI1
ip address ...
no ip route-cache
!
ip default-gateway ...
ip http server
ip http authentication aaa login-authentication AUTHEN
ip http authentication aaa exec-authorization AUTHOR
ip http authentication aaa command-authorization 15 AUTHOR
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
logging ...
tacacs-server host ...
tacacs-server host ...
tacacs-server directed-request
tacacs-server key ...
radius-server host ... auth-port 1645 acct-port 1646 key ...
radius-server host ... auth-port 1645 acct-port 1646 key ...
radius-server retransmit 5
radius-server timeout 100
bridge 1 route ip
!
!
!
line con 0
exec-timeout 600 0
logging synchronous
line vty 0 4
exec-timeout 600 0
authorization commands 0 AUTHOR
authorization commands 1 AUTHOR
authorization commands 15 AUTHOR
authorization exec AUTHOR
accounting commands 15 ACCOUNT
login authentication AUTHEN
!
end