Вопрос или проблема
Я хочу реализовать клиентскую инфраструктуру, где устройства подключаются к сети в разных VLAN.
Я установил сервер freeradius, подключенный к нашему Active Directory. Я включил коммутаторы для динамических VLAN и назначил все VLAN группам LDAP, что, в свою очередь, позволяет аутентификацию MAC-адресов через политики radius.
Все работает правильно, вручную создавая пользователей с MAC-адресами в Active Directory, которые представляют наши сетевые карты.
Поскольку клиенты, которые должны находиться в различных VLAN, являются динамическими на основе атрибута title пользователя, подключенного к этому устройству, я установил это серверное приложение (vmam), которое автоматически управляет различными MAC-адресами на основе правильной конфигурации.
Ух ты, это работает правильно, как я и надеялся, но… насколько я понимаю, оно также должно управлять отключением различных MAC-адресов, и с моей текущей конфигурацией это не работает.
Вот моя конфигурация:
LDAP:
add_group_type:
- user
bind_pwd: password
bind_user: test\admin
computer_base_dn: OU=Computers,OU=My,DC=test,DC=com
domain: test.com
mac_user_base_dn: OU=MAC,DC=test,DC=com
match: like
max_computer_sync: 0
mac_user_ttl: 30d # Это TTL для MAC-адреса, который будет отключен
other_group:
- ALL_MAC
servers:
- dc1
- dc2
ssl: false
time_computer_sync: 1m
tls: true
user_base_dn: OU=My,DC=test,DC=com
verify_attrib:
- title
write_attrib:
VMAM:
filter_exclude:
- TAP
- VirtualBox
- disconnect
log: /usr/log/vmam.log
remove_process: false
automatic_process_wait: 3
mac_format: none
soft_deletion: true # Это будет отключать MAC-адрес
user_match_id:
Manager: 200
Developer: 210
Office: 220
Customer: 230
vlan_group_id:
200: VLAN_Manager
210: VLAN_Developer
220: VLAN_Office
230: VLAN_Customer
winrm_pwd: password
winrm_user: test\admin
Кто-нибудь знает, почему это не работает? Использовали ли вы когда-нибудь это программное обеспечение?
Все работает отлично, это, по моему мнению, настоящий менеджер VLAN, но я не знаю, как активировать отключения.
В качестве обходного пути можно использовать его как Python-модуль, и я мог бы сделать скрипт, но я не знаю, как использовать Python.
Я полагаю, ваша конфигурация неправильна. Если вы хотите, чтобы vmam автоматически отключал (внимание, это означает, что, основываясь на вашей конфигурации, зарегистрированные в вашем домене пользователи MAC будут отключены в течение месяца бездействия), вы должны установить это значение:
remove_process: true
На этом этапе, поскольку вы включили soft_deletion, отключение будет происходить автоматически.
Ответ или решение
Почему Vlan Manager не отключает MAC-адреса автоматически?
Ваша задача по внедрению инфраструктуры клиентов с динамической настройкой VLAN через применение FreeRADIUS и vmam представляет собой интересный вызов и целый ряд задач, связанных с управлением сетями. Так как вы правильно заметили, основная проблема заключается в том, что mac-адреса не отключаются автоматически в вашей текущей конфигурации.
Анализ конфигурации
Ваше текущее конфигурационное решение выглядит следующим образом:
remove_process: false
soft_deletion: trueЭто ключевые параметры, влияющие на автоматическое отключение mac-адресов. Установка параметра remove_process: false означает, что автоматический процесс удаления или отключения mac-адресов в вашей системе не активирован. Таким образом, даже с настроенной мягкой деактивацией (soft deletion), процесс отключения не будет выполняться.
Рекомендации по исправлению
Для достижения необходимого вам поведения вам нужно изменить конфигурацию следующим образом:
- Установите параметр
remove_processв значениеtrue:
remove_process: trueЭто позволит vmam активно управлять процессом отключения mac-адресов соответствующим образом.
- Убедитесь, что у вас правильно настроены все остальные параметры, такие как:
mac_user_ttl: 30d # Это время жизни для mac-адресов перед отключением
soft_deletion: true # Это параметр, позволяющий проводить мягкое удалениеС установленным параметром remove_process: true, при истечении периода TTL (30 дней), соответствующие mac-адреса будут автоматически отключены, что должно решить вашу проблему.
- Также следует проверить, что первоначальные условия для отключения mac-адресов действительно выполнены, например, что адреса не используются в течение указанного времени.
Проверка работоспособности
После изменения конфигурации, рекомендуется выполнить следующие шаги:
-
Проверка логов: Убедитесь, что в логах (/usr/log/vmam.log) отображаются события, связанные с отключением mac-адресов. Это поможет вам удостовериться, что сервис работает корректно и обработка плавного удаления действительно выполняется.
-
Существующие mac-адреса: Проверьте, что mac-адреса, назначенные пользователям, действительно могут быть отключены. Если какие-либо адреса все еще активно используются, отключение не произойдет, так как система будет ожидать окончания их активности.
Заключение
С переключением параметра remove_process на true и правильной настройкой всех передаваемых атрибутов в вашей конфигурации, вы сможете достичь автоматизированного управления mac-адресами в вашем окружении. Это не только упростит обслуживание, но и улучшит безопасность вашей сети, предотвращая несанкционированный доступ с отключенных устройств.
Если у вас возникнут дополнительные вопросы по реализации данного решения или другим аспектам вашей сети, не стесняйтесь обращаться за помощью.