我正在尝试查看是否可以使用 FreeRADIUS 来过滤某些请求类型,然后再将请求转发到最终目的地。
我有以下 RADIUS 计费数据包的拓扑。
WAP -> Aruba Clearpass (RADIUS Server) -> Fortigate (Firewall)
这样设置是为了我可以使用 RADIUS 计费数据包来验证防火墙的用户身份。
我遇到一个问题,当用户在 AP 之间漫游时,来自新 AP 的 Accounting-Start 数据包在来自旧 AP 的 Accounting-Stop 数据包到达之前到达防火墙。这会导致防火墙身份验证会话中断。
我想在 Clearpass 和 Fortigate 之间插入 FreeRADIUS 以仅转发/代理 Accounting-Start 数据包。
如果您以前没有使用过 FreeRADIUS,那么它就是一个庞大而令人困惑的怪物。我希望有人能就所需的配置类型为我指明正确的方向。我很乐意进行研究,只是需要知道在哪里查找。
我已经尝试使用属性过滤器
attr_filter attr_filter.accounting_request {
key = "%{User-Name}"
filename = ${modconfdir}/${.:name}/accounting_request
}
使用以下配置
DEFAULT
Acct-Status-Type == Start,
Filter-Id =* ANY,
User-Name =* ANY,
Framed-IP-Address =* ANY
目前看来,这一切只是消除了帐户状态类型如果不是 Start 类型,则不允许该属性。但允许其他详细信息通过。