Freeradius mschap непонятки.

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Sorryxs
рядовой
Сообщения: 47
Зарегистрирован: 2012-07-04 6:12:25

Freeradius mschap непонятки.

Непрочитанное сообщение Sorryxs » 2013-10-15 8:11:22

Есть проблема с mschap auth.
С доменом проблем нету. radtest -t mschap user pass ip port testarg - проходит на ура. Создан локальный root который на сервере так же проходит авторизацию. Зацеплена Cisco pix 515e, локальным рутом радиуса она проходит отлично, а доменную учетку reject. При этом в режиме дебага идет такой вывод:

Код: Выделить всё

rad_recv: Access-Request packet from host 172.21.1.120 port 1025, id=111, length=62
        User-Name = "ldap"
        User-Password = "passwd"
        NAS-IP-Address = 172.21.1.120
        NAS-Port = 93
        NAS-Port-Type = Virtual
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[mschap] returns noop
[suffix] No '@' in User-Name = "ldap", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "ldap", looking up realm NULL
[ntdomain] No such realm "NULL"
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry DEFAULT at line 209
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
Found Auth-Type = MSCHAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group MS-CHAP {...}
[mschap] ERROR: You set 'Auth-Type = MS-CHAP' for a request that does not contain any MS-CHAP attributes!
++[mschap] returns reject
Failed to authenticate the user.
Using Post-Auth-Type REJECT
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> ldap
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 5 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 5
Sending Access-Reject of id 111 to 172.21.1.120 port 1025
Waking up in 4.9 seconds.
Cleaning up request 5 ID 111 with timestamp +115
Ready to process requests.
Не понимаю какие он хочет атрибуты?
И почему во всех мануалах говорится указать Default auth-type = mschap, возможно ему нужно указать еще параметры?
спасибо
Последний раз редактировалось f_andrey 2013-10-18 13:32:53, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Freeradius mschap непонятки.

Непрочитанное сообщение Гость » 2013-10-18 11:33:53

такой же лог при корректной авторизации покажите

dlyni
проходил мимо

Re: Freeradius mschap непонятки.

Непрочитанное сообщение dlyni » 2013-10-22 8:31:24

Вот лог с ROOT'ом


rad_recv: Access-Request packet from host 172.21.1.179 port 49716, id=9, length=44
User-Name = 'root'
User-Password = 'root'
(1) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(1) authorize {
(1) [preprocess] = ok
(1) auth_log : expand: "/var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d" -> '/var/log/radacct/172.21.1.179/auth-detail-20131022'
(1) auth_log : /var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d expands to /var/log/radacct/172.21.1.179/auth-detail-20131022
(1) auth_log : expand: "%t" -> 'Tue Oct 22 16:29:14 2013'
(1) [auth_log] = ok
(1) [chap] = noop
(1) [mschap] = noop
(1) ntdomain : No '\' in User-Name = "root", looking up realm NULL
(1) ntdomain : No such realm "NULL"
(1) [ntdomain] = noop
(1) eap : No EAP-Message, not doing EAP
(1) [eap] = noop
(1) files : users: Matched entry root at line 100
(1) [files] = ok
(1) [expiration] = noop
(1) [logintime] = noop
(1) [pap] = updated
(1) } # authorize = updated
(1) Found Auth-Type = PAP
(1) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(1) Auth-Type PAP {
(1) pap : login attempt with password "root"
(1) pap : Using clear text password "root"
(1) pap : User authenticated successfully
(1) [pap] = ok
(1) } # Auth-Type PAP = ok
(1) Login OK: [root] (from client network1 port 0)
(1) # Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
(1) post-auth {
(1) [exec] = noop
(1) remove_reply_message_if_eap remove_reply_message_if_eap {
(1) ? if (reply:EAP-Message && reply:Reply-Message)
(1) ? if (reply:EAP-Message && reply:Reply-Message) -> FALSE
(1) else else {
(1) [noop] = noop
(1) } # else else = noop
(1) } # remove_reply_message_if_eap remove_reply_message_if_eap = noop
(1) } # post-auth = noop
Sending Access-Accept of id 9 from 172.21.1.208 port 1812 to 172.21.1.179 port 49716
(1) Finished request 1.
Waking up in 0.3 seconds.
Waking up in 4.6 seconds.
(1) Cleaning up request packet ID 9 with timestamp +183
Ready to process requests.

Гость
проходил мимо

Re: Freeradius mschap непонятки.

Непрочитанное сообщение Гость » 2013-10-22 10:11:08

/usr/local/etc/raddb/sites-enabled/default
в одном случае
(1) files : users: Matched entry root at line 100
в другом случае
[files] users: Matched entry DEFAULT at line 209

и далее
в одном случе
Found Auth-Type = MSCHAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group MS-CHAP {...}

в другом случае
1) Found Auth-Type = PAP
(1) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(1) Auth-Type PAP {

надеюсь обьяснять ничего не надо. все и так очевидно

dlyni
проходил мимо

Re: Freeradius mschap непонятки.

Непрочитанное сообщение dlyni » 2013-10-23 3:03:56

Все это ясно, в конфиге users прописан root, а в [216] этого же конфига, указано DEFAULT Auth-Type = mschap
Проверку т.е. request делаю NTPRADPING, также Pix 515 (вывод radiusd -X одинаковый)
root как вы показали PAP отрабатывает
далее вводим пользователя AD можно также что угодно
вывод такой
rad_recv: Access-Request packet from host 172.21.1.179 port 50608, id=34, length=44
User-Name = 'ldap'
User-Password = 'ssss'
(4) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(4) authorize {
(4) [preprocess] = ok
(4) auth_log : expand: "/var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d" -> '/var/log/radacct/172.21.1.179/auth-detail-20131023'
(4) auth_log : /var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d expands to /var/log/radacct/172.21.1.179/auth-detail-20131023
(4) auth_log : expand: "%t" -> 'Wed Oct 23 10:51:43 2013'
(4) [auth_log] = ok
(4) [chap] = noop
(4) [mschap] = noop
(4) ntdomain : No '\' in User-Name = "ldap", looking up realm NULL
(4) ntdomain : No such realm "NULL"
(4) [ntdomain] = noop
(4) eap : No EAP-Message, not doing EAP
(4) [eap] = noop
(4) files : users: Matched entry DEFAULT at line 216
(4) [files] = ok
(4) [expiration] = noop
(4) [logintime] = noop
(4) WARNING: pap : No "known good" password found for the user. Not setting Auth-Type.
(4) WARNING: pap : Authentication will fail unless a "known good" password is available.
(4) [pap] = noop
(4) } # authorize = ok
(4) Found Auth-Type = MSCHAP
(4) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(4) Auth-Type mschap {
(4) ERROR: mschap : You set 'Auth-Type = MS-CHAP' for a request that does not contain any MS-CHAP attributes!
(4) [mschap] = reject
(4) } # Auth-Type mschap = reject
(4) Failed to authenticate the user.
(4) Login incorrect (mschap: You set 'Auth-Type = MS-CHAP' for a request that does not contain any MS-CHAP attributes!): [ldap] (from client network1 port 0)
(4) Using Post-Auth-Type Reject
(4) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(4) Post-Auth-Type REJECT {
(4) attr_filter.access_reject : expand: "%{User-Name}" -> 'ldap'
(4) attr_filter.access_reject : Matched entry DEFAULT at line 11
(4) [attr_filter.access_reject] = updated
(4) } # Post-Auth-Type REJECT = updated
(4) Finished request 4.
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(4) Sending delayed reject
Sending Access-Reject of id 34 from 172.21.1.208 port 1812 to 172.21.1.179 port 50608
Waking up in 4.9 seconds.
(4) Cleaning up request packet ID 34 with timestamp +61

Из которого лично я делаю вывод,PAP он не прошел, ясно такого пользователя там нет, далее сработала запись "DEFAULT Auth-Type = mschap" и вот здесь
4) Found Auth-Type = MSCHAP
(4) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(4) Auth-Type mschap {
(4) ERROR: mschap : You set 'Auth-Type = MS-CHAP' for a request that does not contain any MS-CHAP attributes!
т.е. NAS не передает необходимые attributes для RADIUS,чтобы тот мог послать CHALENGE(приглашение) т.е. NAS понятие не имеет о MS-CHAP,
тупо что было послал: User-Name = 'ldap' User-Password = 'ssss' и все. Или всетаки проблема в другом??????? Спасибо.

dlyni
проходил мимо
Сообщения: 1
Зарегистрирован: 2013-10-23 5:21:48

Re: Freeradius mschap непонятки.

Непрочитанное сообщение dlyni » 2013-10-23 6:14:09

вся схема не рабочая , RADIUS так не может..,всем спасибо

Гость
проходил мимо

Re: Freeradius mschap непонятки.

Непрочитанное сообщение Гость » 2013-10-23 8:25:03

т.е. NAS не передает необходимые attributes для RADIUS,чтобы тот мог послать CHALENGE(приглашение) т.е. NAS понятие не имеет о MS-CHAP,
да все правильно, это я уже подзабыл,
NAS должен уметь отправлять на радиус атрибуты chap/chap-ms
если он этого не умеет. то радиус ничем помочь не может