Sparovani FreeRadius uzivatele (MAC) a pridelene IP adresy (ISC DHCP)

[Lukas L.]

Hledam nejaky mechanismus jak sparovat uzivatele, ktery se hlasi pres Freeradius (tj, poznam uzvivatel=urcita MAC) a nasledne prideleni IP adresy te MAC pomoci ISC DHCP - nejlepe v case prideleni te IP adresy (protoze DHCP server zada teprve po vpusteni do site pres RADIUS server).
Existuje nejaka moznost jak to udelat jinak nez analyzovat lease file DHCP serveru a porovnavat s poslednim zaznamem te MAC adresy v logu radius serveru? To muze byt take dost nepresne, pokud se trefim do doby, kdy by byla IP uvolnena a nahodou znovu prirazena - takze by v zaznamu uz figuroval nekdo jiny...

[Lukas L.]

tak uz jsem nasel neco +- podobnemu tomu co chci http://www.unix.com/shell-programmin...es.html,skript jsem si trosku upravil. Nejsem zadny perlo/regexpo znalec, ale nejak mi to nematchuje - tak jsem to upravil

Kód:

#!/usr/bin/perl

while (<>) {
 if  (/DHCPACK on (\S+) to (\S+)/) {
   $mac2ip{ lc($2) } = $1;
#print $2,"=",$1,"\n";
        }


#if (/Auth: Login OK:.* cli (\w+)\)/) {
 if (/Auth: Login OK: \[(.+)\].* cli (.+)\)/) {
# remove trailing newline
chomp;
# grab mac address.
$user=$1;
$mac=lc($2);
# convert to dhcp-style
#$mac =~ s/(\w\w)(\w\w)/$1:$2/g;
$mac =~ s/-/:/g;
$mac =~ tr/[A-Z]/[a-z]/;

# lookup ip from previous step
$ip = exists $mac2ip{ $mac } ? $mac2ip{ $mac } : "UNKNOWN";
# print original line with ip info
print "$user ($mac) = $ip\n";
                                            }
                                            }

predpokladem je jeden soubor spojeny z radius.log a dhcpd.log sortovany podle casu

Kód:

#!/bin/sh
(awk '{ $1=""; print $0; }' radius.log | grep OK ; cat dhcpd.log | grep ACK;) | sort -k 1M,2 -k 2n,3 -k 3,4 -k  4r,5 > merge.txt

[sasha]

sikovnej, jestli to funguje mas K+
nicmene mi unika tvoje definice MAC=user, pokud je to jen pro domaci pouziti kde nikdo do te site nevidi tak OK, nicmene to vypada ze to neni vubec jinak zabezpecene = kazdy si odposlechne MAC ktere tam behaji a v pohode se ti prihlasi misto uzivatele takze vlastne MAC se user nerovna

[Lukas L.]

no tak to se asi spatne divas, protoze pokud se ptam na parovani uzaivatele z freeradius serveru a nalsedne prideleni IP adresy z DHCP - tak mas sice pravdu, ze DHCP se neautentifikuje proti radius serveru - ale uzivatele ano (PEAP, MSCHAPv2) a pripojeni jsou pres WPA/WPA2 TKIP/AES. Me nejde o to zjistit, ze pepa je mac pepa. To bych samozrejme jeste mohl udelat registraci mac adres k uzivateli a overovani toho spojeni. Ne - me slo o to vedet - pokud se uzivatel pohybuje mezi APcky (a do budoucna bude i v jinych subnetech) jakou ma od kdy pridelenoe IPcko. Rozhodne neni prakticke si definovat v DHCP serveru MAC<>IP - protoze tech uzivatelu je hafo (stovky). Tzn. potrebuju vedet, kdo mel kdy jake IP pro moznost zpetneho trasovani sitove aktivity.

[sasha]

ok rozumim