radius cambium epmp

victor_Sivtsev · June 13, 2018, 9:47am

Доброго времени суток,

Коллеги, недавно столкнулся с такой пролемкой с аутентификацией входа по протоколу radius. Суть проблемы в следующем. При попытке входа под доступом READONLY, USER, INSTALL (Cambium-ePMP-UserLevel - 2, 4, 5) web интерффейс предоставляет доступ под ADMIN профилем. При чем, в статусе (верхней части интерфейса) указано, "Active Read-Only Users: 1".

Может в конфигурации FreeRadius или Cambium я что то не так делаю ?

---------------

users

popov Cleartext-Password := "password123"
Cambium-ePMP-VLMGVID = "30",
Cambium-ePMP-VLANMEMSET = "16777516",
Cambium-ePMP-UserLevel = "5"

SergeyGolovanov · June 13, 2018, 12:50pm

Добрый день, Виктор.

Уточните, пожалуйста:

1) Что значит при попытке доступа под READONLY, USER, INSTALL веб-интерфейс предоставляет доступ под ADMIN? Что вы вводите как имя пользователя и что в качестве пароля?

2) Версия софта?

3) Как настроено управление учетными записями?

- Device Local Only
- Remote RADIUS Server Only
- Remote RADIUS Server and Fallback to Local

victor_Sivtsev · June 13, 2018, 1:00pm

Отвечаю:

1. имеется виду в настройках freeradius файл users, атрибут Cambium-ePMP-UserLevel в котором указываются права учетной записи входа на устройство. В качестве учетки при доступе через web морду указываю данные радиуса пользователя.

2. freeradius-3.0.13

ePMP1000 - 3.3

3. Remote RADIUS Server and Fallback to Local

Данный параметр может влиять на мою проблему ?

SergeyGolovanov · June 13, 2018, 3:19pm

При Remote RADIUS Server and Fallback to Local, если учетки нет на радиусе или радиус не доступен, разрешены локальные учетные записи (настроенные в Configuration->System->Account Management). Если это не соответсвует желаемому результату, включите Remote RADIUS Server Only.

victor_Sivtsev · June 13, 2018, 4:13pm

так это понятно, вопрос то у меня в другом был (см. выше) ..... Почему при аттрибутах Cambium-ePMP-UserLevel - 2, 4 или 5 (READONLY, USER, INSTALL) доступ на ePMP предоставляется под ADMIN профилем ??? т.е доступны к изменению вся конфигураця устройства.

radepmp.jpg (162 KB)

Fedor · June 13, 2018, 4:35pm

@victor Sivtsev wrote:

так это понятно, вопрос то у меня в другом был (см. выше) ..... Почему при аттрибутах Cambium-ePMP-UserLevel - 2, 4 или 5 (READONLY, USER, INSTALL) доступ на ePMP предоставляется под ADMIN профилем ??? т.е доступны к изменению вся конфигураця устройства.

Добрый день.

Есть такая проблема.

Будем чинить.

Спасибо за информацию.

Спасибо.

victor_Sivtsev · June 13, 2018, 8:35pm

К дополнению вышеуказанной проблеме, хотел обратить внимания на сообщения при успешой аутентификации генерируемая в syslog. В данном случае при входе по атрибуту профиля ADMIN (Cambium-ePMP-UserLevel - 3), syslog всегда пишет сообщения от имени admin, было бы удобней если указывалось реальнsq login согласно radius.

victor_Sivtsev · March 30, 2019, 10:59am

Добрый день Коллеги,

Хотел поинтересоваться по вышеуказанной проблеме, удалось ли вендрам внести корректировки ? Если да, то в каком релизе. Если нет, то есть ли какой нибудь способ (кроме локальный учеток) решить данную проблему ?