Synology Radius Cisco SG300
Hallo zusammen
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.
Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.
Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?
Danke
adminst
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.
Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.
Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?
Danke
adminst
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257595
Url: https://administrator.de/forum/synology-radius-cisco-sg300-257595.html
Ausgedruckt am: 02.04.2025 um 23:04 Uhr
11 Kommentare
Neuester Kommentar
Das trägt man in der User Datei des Freeradius ein. Synology nutzt den FreeRadius als Radius Plugin.
Details dazu findest du in diesen Forum Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Details dazu findest du in diesen Forum Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Jetzt verstehst du was falsch. Du zeigtst die client.conf die sich ja immer rein nur aufs Device (802.1x Authenticator) im Netz bezieht und mit den Usern nicht das geringste zu tun hat ! Die war ja auch nicht gemeint ! Es ist die users Datei wo die einzelnen .1x User definiert sind in der radius Konfig. Siehe Tutorial !
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15"
Hat nichts mit 802.1x Authentisierung für die Ports zutun, sonder mit dem Systemlogin (http(s);ssh;serielle Konsole;telnet).
Richtig !
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Starte auf dem Synology eine Shell indem du mit SSH zugreifts.
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Kapitel: Radius Server testen
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Kapitel: Radius Server testen