Есть конкретный сценарий, в котором мы хотели бы использовать FreeRadius для входа в коммутаторы с использованием учетных данных Kerberos и сетевых устройств с использованием EAP-TLS.
В настоящее время это настроено и работает , но только по одному. Таким образом, я могу войти в коммутатор, используя данные Kerberos, и вы получите ответ на подтверждение радиуса. Когда устройство использует EAP-TLS, оно берет имя машины и пытается аутентифицироваться по Kerberos, используя это имя, но впоследствии терпит неудачу, потому что нет пароля.
Если я закомментирую строку для «файлов», например, в site-available / default, пользовательский файл больше не будет читаться, а «default = auth-type kerberos» поэтому больше не используется. Затем впоследствии получит радиус, принимаемый обратно для всех запросов eap-tls.
Приношу свои извинения за то, что не опубликовал какую-либо информацию о конфигурации или отладке, но невозможно поделиться этой информацией, но по запросу можно вручную ввести любой требуемый элемент.
Итак, мой вопрос: знает ли кто-нибудь, как одновременно настроить Freeradius для выполнения аутентификации управления коммутатором с использованием Kerberos и аутентификации сетевого компьютера с использованием EAP-TLS.
Большое спасибо.
Не форсируйте Auth-Type во всех случаях - только когда вы хотите использовать Kerberos.
Часто это может быть настройка "Auth-Type = Kerberos" вместо "Auth-Type := Kerberos" - первый не будет форсировать обновление атрибута, если он уже был установлен EAP.
Или не устанавливайте Auth-Type с файловым модулем, а делайте это в безанговом режиме, например, с помощью чего-нибудь вроде
if (!Auth-Type) {
update control {
Auth-Type := Kerberos
}
}
после вызова Eap. Вместо того, чтобы говорить "if (!Auth-Type)", вы, возможно, захотите сделать это специфично для запросов, которые должны использовать Kerberos, например, проверив Packet-Src-IP-Address / NAS-Identifier / Huntgroup / etc.
.