带有NPS的Sonicwall SSO

Question

我有一个SonicWall，在这里我希望启用RADIUS SSO功能。做这件事的文章声明RADIUS服务器Send the user’s IP address in either Framed-IP-Address or Calling-Station-Id attribute in both Start and Stop messages.

我的设置如下：AP -> NPS -> (RADIUS Accounting forwarded) Sonicwall

当连接到AP时，它成功地登录。当转发事件到达SonicWall时，它在Calling-Station-Id中没有Framed-IP-Address或IP (只有MAC地址)。

 Attribute Value Pairs
    AVP: l=19  t=Acct-Session-Id(44): 53AB6162-00000010
    AVP: l=6  t=Acct-Status-Type(40): Stop(2)
    AVP: l=6  t=Acct-Authentic(45): RADIUS(1)
    AVP: l=10  t=User-Name(1): user
    AVP: l=6  t=NAS-IP-Address(4): 10.10.0.150
    AVP: l=14  t=NAS-Identifier(32): xxxxxxxxx
    AVP: l=6  t=NAS-Port(5): 0
    AVP: l=35  t=Called-Station-Id(30): XX-XX-XX-XX-XX-XX:SSID
    AVP: l=19  t=Calling-Station-Id(31): XX-XX-XX-XX-XX-XX
    AVP: l=6  t=NAS-Port-Type(61): Wireless-802.11(19)
    AVP: l=23  t=Connect-Info(77): CONNECT 0Mbps 802.11b
    AVP: l=46  t=Class(25): 420e04e70000013700011700000000000000000000000000...
    AVP: l=6  t=Acct-Session-Time(46): 604
    AVP: l=6  t=Acct-Input-Packets(47): 182
    AVP: l=6  t=Acct-Output-Packets(48): 145
    AVP: l=6  t=Acct-Input-Octets(42): 32797
    AVP: l=6  t=Acct-Output-Octets(43): 47272
    AVP: l=6  t=Event-Timestamp(55): Jun 26, 2014 09:47:54.000000000 PDT
    AVP: l=6  t=Acct-Terminate-Cause(49): User-Request(1)
    AVP: l=22  t=Proxy-State(33): 1700000000000000000000000000000000000039

我发现我的Ubiquiti AP不发送Framed-IP-Address或Calling-Station-Id中的IP，他们推荐RADIUS从DHCP获取这些信息。我肯定遗漏了什么，因为我在NPS或DHCP服务中任何地方都找不到配置。

如何通过DHCP或NPS将正确的信息传递给我的SonicWall？

Answer 1

其他人有向乌比奎提要同样的东西却没有用。在检查了代码之后，看起来需要一些合理的工程才能实现这一点。(Ubiquiti得出了同样的结论.)

Ubiquiti AP是基于Linux的，使用旅店提供他们的AP功能。我深入研究了hostapd的源代码，发现它不支持填充Framed-IP-Address RADIUS属性(src/radius/radius.c，radius_attr_type radius_attrs结构)。就填充Calling-Station-Id属性而言，hostpad只从我所能看到的(从hostapd_allowed_address获得MAC的函数hostapd_radius_acl_query中的src/ap/ieee802_11_auth.c，在函数add_common_radius_sta_attr中的src/ap/ieee802_1x.c中)使用MAC地址填充该属性。

由于hostapd主要涉及对移动单元( MU )的身份验证(以及一点半径计算)，并且在对MU进行身份验证后不处理任意IP通信量，所以它实际上不会让MU的IP分配给RADIUS。

我不认为你会得到你想要的w/o写代码。理论上，您可以在NPS服务和Sonicwall之间添加某种第7层RADIUS代理，并将该属性从MAC重写到IP地址(查询DHCP服务器)。FreeRADIUS 政策也许能做你想做的事。

Answer 2

依循埃文的建议。最后，我用unifi-api编写了自己的代码。我的项目分叉包括关于如何用FreeRADIUS设置它的说明。

我走了FreeRADIUS > NPS (8月)> Sonicwall (Acct)路线。