macアドレス認証をやらせているradiusサーバに機器ログイン認証もやらせている場合、macアドレスをuid/pwdとしてログインできることが判明。参照するデータベースが同じだから仕方ないっちゃ仕方ないよな。

— bashaway (@bashaway) 2015, 3月 17

 というわけで調べてみた。

以下FreeRadiusをデバッグモード（radiusd -X）で起動したもののうち

Access-Requestのパートだけを抜き出すと、ちょっと違いが。

MACアドレスバイパスの場合

rad_recv: Access-Request packet from host 192.168.10.181 port 1645, id=15, length=157
User-Name = "000f1fce0c64"
User-Password = "000f1fce0c64"
Service-Type = Call-Check
Framed-MTU = 1500
Called-Station-Id = "00-1E-BD-F6-54-02"
Calling-Station-Id = "00-0F-1F-CE-0C-64"
Message-Authenticator = 0x8b565748593bbc11719a25c438bc064f
NAS-Port-Type = Ethernet
NAS-Port = 50002
NAS-Port-Id = "FastEthernet0/2"
NAS-IP-Address = 192.168.10.181

MACアドレスでログインした場合

rad_recv: Access-Request packet from host 192.168.10.181 port 1645, id=18, length=76
User-Name = "000f1fce0c64"
User-Password = "000f1fce0c64"
NAS-Port = 1
NAS-Port-Id = "tty1"
NAS-Port-Type = Virtual
NAS-IP-Address = 192.168.10.181

というわけで、とりあえず "NAS-Port-Type = Ethernet" をチェックアイテムに含めてみる。

000f1fce0c64 Cleartext-Password := "000f1fce0c64"

↓

000f1fce0c64 Cleartext-Password := "000f1fce0c64" , NAS-Port-Type == Ethernet

すると、ログ上でuserファイルにマッチしていた

[files] users: Matched entry 000f1fce0c64 at line 7

という行が消え、

[files] users: Matched entry DEFAULT at line 1

のみが確認でした。つまり条件にマッチしていないのでREJECTされている。

よしとする。