11
Synology Radius Cisco SG300
Hallo zusammen
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.
Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.
Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?
Danke
adminst
Eine Firma setzt bereit ein Synology DS1813+ ein. Bei jenem ist das Radius Plugin aktiviert welches die User via integriertem LDAP prüft.
Das Vorhaben der Firma ist, dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie zentral via Radius
die Logins prüfen sollen.
Auf dem Radius wurde der Switch erfasst und auf dem LDAP der User erstellt. Der SG300 wurde auch konfiguriert. Wird nun versucht einzuloggen
sieht man im Log vom Radius: Auth OK. Jedoch funktioniert das login auf dem Switch nicht.
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15" erwartet.
Ich komme leider nicht weiter, da ich nicht weiss wo was eintragen usw.
Kann mir jemand helfen?
Danke
adminst
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257595
Url: https://administrator.de/forum/synology-radius-cisco-sg300-257595.html
Ausgedruckt am: 02.04.2025 um 23:04 Uhr
11 Kommentare
Neuester Kommentar
Das trägt man in der User Datei des Freeradius ein. Synology nutzt den FreeRadius als Radius Plugin.
Details dazu findest du in diesen Forum Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Details dazu findest du in diesen Forum Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das ist aber Unsinn das der Switch das braucht. Das ist eine sog. Vendor specific Extension die mit der standardtisierten 802.1x Authentisierung nichts zu tun hat und daher nicht erforderlich ist. Es sei denn man will Hersteller proprietäre Settings mit dem radius Request übergeben ?! Normalerweise muss man das nicht bei standard 802.1x.
Diese Extension trägt man in die sog. "Dictionary" Datei beim FreeRadius ein. Das ist eine simple Text Datei die man editieren kann.
Es sollte fehlerfrei aber immer auch ohne diesen Parameter funktionieren !
Hallo Aqui
Danke dass du mir hilfst.
Vielleicht siehst du gerade was falsch ist:
client.conf :
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}
Im Dictionary ist die dictionary.cisco drin. So wie es aussieht sendet der Radius die shell:priv-lvl=15 nicht mit. Die shell:priv-lvl=15 steht ja für Adminzugriff.
Ich wüsste nicht von wo er das wissen soll, dass er die 15 senden muss und nicht ein anderes Privileg. Die Frage ist nur wie ich das mitgeben kann für die gwünschten User.
Danke
adminst
Danke dass du mir hilfst.
Vielleicht siehst du gerade was falsch ist:
client.conf :
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}
Im Dictionary ist die dictionary.cisco drin. So wie es aussieht sendet der Radius die shell:priv-lvl=15 nicht mit. Die shell:priv-lvl=15 steht ja für Adminzugriff.
Ich wüsste nicht von wo er das wissen soll, dass er die 15 senden muss und nicht ein anderes Privileg. Die Frage ist nur wie ich das mitgeben kann für die gwünschten User.
Danke
adminst
Jetzt verstehst du was falsch. Du zeigtst die client.conf die sich ja immer rein nur aufs Device (802.1x Authenticator) im Netz bezieht und mit den Usern nicht das geringste zu tun hat ! Die war ja auch nicht gemeint ! Es ist die users Datei wo die einzelnen .1x User definiert sind in der radius Konfig. Siehe Tutorial !
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Du sagst ja selber das du das dem User (802.1x Supplicant) mitgeben musst folglich steht das also auch in der users Datei des FreeRadius...logisch
Hallo aqui
Die Client.conf zeigte ich nur, falls da schon etwas falsch sein sollte.
Mir ist nur nicht klar wo ich eintragen muss, dass der User die shell:priv-lvl=15 bekommt. Kommt das vom LDAP daher oder im Radius.
Vorallem, wo ich das Privileg eintragen muss.
Mit der Konfiguration von WLANUsern und Ports habe ich keine Mühe. Jedoch bei diesem Cisco custom priv. ...
Danke und Gruss
adminst
Die Client.conf zeigte ich nur, falls da schon etwas falsch sein sollte.
Mir ist nur nicht klar wo ich eintragen muss, dass der User die shell:priv-lvl=15 bekommt. Kommt das vom LDAP daher oder im Radius.
Vorallem, wo ich das Privileg eintragen muss.
Mit der Konfiguration von WLANUsern und Ports habe ich keine Mühe. Jedoch bei diesem Cisco custom priv. ...
Danke und Gruss
adminst
Nach kurzer Recherche habe ich gefunden, dass der Switch noch einen Zusatz: cisco-avpair = "shell:priv-lvl=15"
Hat nichts mit 802.1x Authentisierung für die Ports zutun, sonder mit dem Systemlogin (http(s);ssh;serielle Konsole;telnet).
Richtig !
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Das ist der Privilige Level 15 und der gilt ausschliesslich nur für die User Adutentisierung des Konfig Zugangs auf dem Switch selber. Nicht aber für die 802.1x Funktion.
Du willst aber gerade letzteres konfigurieren, oder ?
Für .1x kannst du das also beruhigt ignorieren wie oben schon vermutet.
Hallo Aqui
Es geht um den Konfigzugang. Gem. "dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie ".
Portauth. wird irgendwann der zweite Streich sein.
Gruss
adminst
Es geht um den Konfigzugang. Gem. "dass neu alle Management Logins von Cisco SMB APs und der Swichtes der SG300 Serie ".
Portauth. wird irgendwann der zweite Streich sein.
Gruss
adminst
OK, wenns der Konfig Zugang ist dann ist das richtig !
Das Priviliged Level 15 trägst du dann in der Users ein damit das Pro User der Admin rechte bekommt übergeben wird.
Das Priviliged Level 15 trägst du dann in der Users ein damit das Pro User der Admin rechte bekommt übergeben wird.
Hallo Aqui
Was müsste ich in die Users(File) eintragen?
Die Benutzer habe ich im LDAP (Syno). Ich habe bis jetzt nur Beispiele gesehen, welche die User direkt im System hatten.
Danke für deine kompetente Hilfe!
adminst
Was müsste ich in die Users(File) eintragen?
Die Benutzer habe ich im LDAP (Syno). Ich habe bis jetzt nur Beispiele gesehen, welche die User direkt im System hatten.
Danke für deine kompetente Hilfe!
adminst
Hallo Aqui
Ich habe im LDAP eine Gruppe cisco-admin erstellt und meinen User da hinzugefügt.
Im Users file habe ich folgendes hinzugefügt:
DEFAULT LDAP-Group == "cn=cisco-admin,cn=groups,dc=[domain],dc=ch"
radiusReplyItem: Cisco-AVPair+= "shell:priv-lvl=15"
Client.conf bleibt gleich:
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}
Im Log des Radius steht: Auth OK. Einloggen geht immer noch nicht.
Weisst du wo da der Hund begraben liegt?
Danke
adminst
Ich habe im LDAP eine Gruppe cisco-admin erstellt und meinen User da hinzugefügt.
Im Users file habe ich folgendes hinzugefügt:
DEFAULT LDAP-Group == "cn=cisco-admin,cn=groups,dc=[domain],dc=ch"
radiusReplyItem: Cisco-AVPair+= "shell:priv-lvl=15"
Client.conf bleibt gleich:
client 10.195.76.204/32 {
secret = 5AUTE8JolAIuIDNV7q0F
shortname = 24PSwitch
nastype = cisco
}
Im Log des Radius steht: Auth OK. Einloggen geht immer noch nicht.
Weisst du wo da der Hund begraben liegt?
Danke
adminst
Starte auf dem Synology eine Shell indem du mit SSH zugreifts.
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Kapitel: Radius Server testen
Dann stoppst du den FreeRadius und startest den mal neu im Debug Mode mit dem Switch -X
Dann kannst du im Klartext mitlesen woran es liegt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Kapitel: Radius Server testen
