Авторизация на управляемом оборудовании через FreeRADIUS3

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 13:23:49

День добрый.
Есть идея сделать авторизацию на управляемых свичах через доменные учетки из группы DomainAdmin.
Начал делать по статье
www.e-du.ru/2016/08/freeraius-ad-freebsd-samba

Дошел до момента
Далее настраиваем работу протокола mschap (если требуется).

Как вообще происходит авторизация через радиус сервер? Я захожу на свитч, пишу свои доменные учетные данные (логин и пароль) оборудование обращается к AD и сравнивает данные, верно? Как мне проверить, что с той стороны (со стороны свичей) запрос вообще приходит?
Либо дайте пожалуйста ссылки на подобные темы, где так же настраивают авторизацию через фрирадиус? Заранее спасибо.
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 17:17:16

Как посмотреть, что к нашему радиус серверу хоть кто-то обращался?
:bn:

snorlov
подполковник
Сообщения: 3561
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение snorlov » 2017-09-18 17:21:08

запустите радиус в режим командной строки, а не демона, ключик -Х кажется, он все, что отрабатывает, будет плевать на консоль...

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 19:20:00

В режиме консоли уже не имеет смысла, логи пишут все :)
Добился прогресса, я вижу в логах что я пытаюсь авторизоваться, но выдает сообщение об неверном пароле

Код: Выделить всё

Mon Sep 18 21:25:25 2017 : Auth: (1) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [login\passwd] (from client 10.0.0.2 port 0) badpass

Подскажите что не так?

Отправлено спустя 1 час 51 минуту 19 секунд:

Код: Выделить всё

Mon Sep 18 23:17:44 2017 : Auth: (4) Login OK: [login/passwd] (from client manager port 0) goodpass

Все ок, но не авторизуюсь на самом оборудовании, в чем бяда? :)

Отправлено спустя 44 минуты 23 секунды:

Код: Выделить всё

Ready to process requests
(0) Received Access-Request Id 42 from 10.0.0.91:1026 to 10.0.0.252:1812 length 87
(0)   User-Name = "user"
(0)   User-Password = "user"
(0)   NAS-Identifier = "00-56-2B-1F-DE-46"
(0)   Message-Authenticator = 0x0cf5e08c521d855cccea74144b3742c2
(0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(0)   authorize {
(0)     [preprocess] = ok
(0)     policy ntlm_auth.authorize {
(0)       if (!control:Auth-Type && User-Password) {
(0)       if (!control:Auth-Type && User-Password)  -> TRUE
(0)       if (!control:Auth-Type && User-Password)  {
(0)         update control {
(0)           Auth-Type := ntlm_auth
(0)         } # update control = noop
(0)       } # if (!control:Auth-Type && User-Password)  = noop
(0)     } # policy ntlm_auth.authorize = noop
(0)   } # authorize = ok
(0) Found Auth-Type = ntlm_auth
(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(0)   Auth-Type ntlm_auth {
(0) ntlm_auth: Executing: /usr/local/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name} --password=%{User-Password}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=user
(0) ntlm_auth: EXPAND --password=%{User-Password}
(0) ntlm_auth:    --> --password=user
(0) ntlm_auth: Program returned code (0) and output 'NT_STATUS_OK: Success (0x0)'
(0) ntlm_auth: Program executed successfully
(0)     [ntlm_auth] = ok
(0)   } # Auth-Type ntlm_auth = ok
(0) # Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
(0)   post-auth {
(0)     update {
(0)       No attributes updated
(0)     } # update = noop
(0)     [exec] = noop
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # post-auth = noop
(0) EXPAND goodpass
(0)    --> goodpass
(0) Login OK: [user/user] (from client manager port 0) goodpass
(0) Sent Access-Accept Id 42 from 10.0.0.252:1812 to 10.0.0.91:1026 length 0
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 42 with timestamp +7
Ready to process requests
Кто сможет пояснить, что тут написано и почему я не авторизовался хотя и логин и пас верные?
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-23 18:33:49

Вообще никто не сталкивался с подобной проблемой?
:bn:


Вернуться в «Софт»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей