44 Poland Street, Soho, London

Workaround for wired device-authentication against Cisco RADIUS solutions

Related Posts
602 Comments
Mattias

This looks cool! I ran into the same problem that the end-user had to fill in the username. I was thinking about a similar solution, no need for that now… 🙂
I must say we don’t have to fill in the “host/” part, only the computer account. Is the host the same as the domain?

Darren Wallace

Hi Mattias,
Thanks for the comment.
The ‘host/’ is literally that, “host/”. It’s not a placeholder or something to be substituted.
For example, if the FQDN of the client was “client01.test.com”, then the username, once injected, would be “host/client01.test.com”
Hope that helps!
Darren

Mattias

YES! (sorry for the capitals, just so happy I found this).
It seems to be possible to use variables in profile manager.
So, what you do is: Create the profile as you described. But instead of using host/CHANGEME, you enter %AD_ComputerID%.
And that’s it! It will automatically fetch the computer ID and use this for authentication.

Darren Wallace

Hi Mattias,
I’ve actually just completed a blog on payload variables for Jamf Pro (formally Casper) and Profile Manager.
Just a minor correction, I’d need to use “host/%AD_ComputerID%” because the ‘Host\’ was the bit I needed ????
Thanks for your comment!
Darren

Mattias

Probably it will work without the “host/” part. When we manually connect we have to enter the hostname followed by a $ sign. Also I found this in an Apple training I found online:
User name. If using a password-based protocol, enter the user name that
will be used to authenticate the device. If using TLS, the value entered for
Username will be sent in response to an identity request, instead of a
value from the identity certificate itself. If the value from the certificate
doesn’t work properly for authentication, you may enter something like
host/computername.domain.com or computername$.
http://training.apple.com/pdf/WP_8021X_Authentication.pdf

Darren Wallace

Hi Marrias,
Aha that was the issue I was having. The customer’s Radius authentication solution required “host\[hostname]” 🙂

Hi Darren can you help us understand and answer the following questions?
What RADIUS attributes are best suited for MAC clients to check whether a user is already domain authenticated.
– Is there a method on MACs to force the machine to send its hostname in the RADIUS packet when performing PEAP-MCHAPv2 and EAP-TLS. Is there a best practice or Apple proprietary way to do this?

Darren Wallace

Hi Aaron,
Thanks for your message, but I’m afraid I don’t quite understand what you’re asking.
As far as methods to test if a user is already authenticated for RADIUS, that will depend on your RAIDUS / Network configuration. At the client I worked with, if the client couldn’t authenticate to RADIUS, it wouldn’t get an IP address so that was quite simple!
For Mac RADIUS, you can’t alter the packets that are sent without some sort of 3rd party interception tool. Additionally, to my knowledge, once a device is authenticated, you should be good.
If this doesn’t answer your questions, I’d suggest you take a step back and explain what you’re actually trying to do or what issues you are having.
Also, I’d strongly suggest joining the Mac Admins Slack (Free!) which is easier to work through these types of questions. Plus there currently are 11,237 others who can help!
I hope that helps,
Darren

Wonderful views on that!

เล่นสล็อตเว็บตรงไม่ผ่านเอเย่นต์ที่มีบริการฝาก-ถอน ออโต้รวดเร็วไม่มีขั้นต่ำ ไม่ต้องนั่งส่งสลิป มีประสิทธิภาพที่ดียอดไม่เกิน1วินาที ก็สามารถเล่นSlotได้เลย
เว็บไซต์สล็อตออนไลน์ที่เมื่อลงทะเบียนใหม่รับทันทีโบนัส100% รับสิทธิพิเศษล้นหลามข้างในตัวเกม อีกทั้งยังมีโปรโมชั่น slotล้นหลามให้เลือกรับ เข้ามาร่วมสนุกและเพลิดเพลินไปกับเราเว็บตรงไม่ผ่านเอเย่นต์หาเงินออนไลน์ที่สะดวกสบายเพียงแค่มีเพียงโทรศัพท์มือถือหรือคอมพิวเตอร์เพียงเท่านั้น เสี่ยงดวงได้ทุกที่ทุกเวลา ฝากถอนไม่มีอย่างต่ำถอนเงินได้ไม่ยั้งตลอด
24 ชั่วโมง JOKER SLOT
เล่นเกมสล็อตมือถือกล้วยๆและมีเกมให้เลือกเล่นมากมายก่ายกองนานัปการค่ายไม่ว่าจะเป็นPG SLOT,XO SLOT,joker สล็อต,สล็อต22 เลือกได้ตามใจชอบของผู้เล่น อีกทั้งเว็บของเรายังเป็นเว็บสล็อตใหม่ล่าสุดมีความปลอดภัยจ่ายเงินจริง
100% ไม่มีประวัติการทุจริต มีความทันสมัย เล่นง่าย รองรับระบบภาษาไทย มีเงินรางวัลล้นหลาม สล็อตเว็บตรงที่มาแรงชั้น 1 ของประเทศไทย ห้ามคลาดโอกาสที่จะรวยไปกับพวกเรา playslot888.com เล่นได้เงินจริงแน่ๆ มีเกมให้เลือกเล่นมากกว่า 50 เกม จุใจแน่นอน อีกทั้งยังมีระบบการทดลองเล่นฟรี ไม่เสียเงินแม้กระทั้งบาทเดียว สนใจสมัครสมาชิกวันนี้รับเครดิตฟรีไปเลย 100%

I love this blog. Thank you.

This is the right web site for everyone who really wants to find out
about this topic. You know so much its almost tough to argue with you
(not that I really will need to…HaHa). You certainly put a fresh spin on a topic which has been written about
for decades. Excellent stuff, just great!

Spot on with this write-up, I truly believe this site needs much more attention.
I’ll probably be returning to read through more, thanks for the
info!