stoke – take 0.2

Posted: July 27, 2009 in technical
Tags:

Se pare ca Stoke-le are niste pitici ciudatei, pe lange multitudinea de chestii faine.

Anume: pentru ceea ce vreau eu sa fac, lucrez cu un context pe nume ipsec1, contextul asta fiind un fel de vrf. Ei bine, in momentul in care imi pun configul de ipsec/ip clar/whatever pe un port, acolo indic clar care este contextul de care apartine acel port. In acest caz:

port ethernet 4/0
bind interface untrust1 ipsec1
ipsec policy ikev2 phase2 name ph2_1
ipsec policy ikev2 phase1 name ph1_1
exit
service ipsec
enable
exit
port ethernet 4/1
bind interface trust1 ipsec1
exit
exit

port ethernet 4/0

bind interface untrust1 ipsec1

ipsec policy ikev2 phase2 name ph2_1

ipsec policy ikev2 phase1 name ph1_1

exit

service ipsec

enable

exit

port ethernet 4/1

bind interface trust1 ipsec1

exit

exit

Ei bine, Stoke-lui nu ii e de ajuns acest lucru, si se plange ca nu gaseste context pentru acel user. De aceea pe client trebuie sa pui ceva de genul: user@context, ca sa ii zici lu’ Stoke sa asocieze acest user, acelui context anume, ca e configurat sa faca EAP, de exemplu. Chestia asta mi se pare aiurea, pentru ca nu vad de ce clientul ar trebui sa stie ce vrf-uri are admin-ul configurate pe DUT. De moment ce cererea de EAP intra pe un port, iar acel port e pus intr-un context, ma astept sa mi se aplice regulile de autentificare de pe acel context.
Faza asta a lui Stoke mai are o implicatie asupra freeradius-ului, anume ca pe radius ajunge tot user@context, nu se face stripping de context. Deci, ca sa duci autentificarea la bun sfarsit, tre sa strippuiesti “domeniul” (probabil..?!?) aici. Eu am creat un realm cu numele contextului in proxy.conf pe radius, in care am setat authhost=LOCAL. Sper sa-l pacalesc asa. Altfel, ar trebui sa-i zic “cumva” lui radius sa nu bage in seama ce vine dupa “@” si inca nu stiu cum.
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s