FreeRADIUS+SAMBA+AD(+сisco)

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Avendeil
рядовой
Сообщения: 20
Зарегистрирован: 2011-09-19 16:30:33

FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Avendeil » 2012-05-30 13:30:52

Весь инет облазил. Но решения так и не нашел. Не проходит проверку юзер АДшки на циске и все тут. Делал по офф доку: http://wiki.freeradius.org/FreeRADIUS_A ... tion_HOWTO
циску настраивал по этому доку http://wiki.sirmax.noname.com.ua/index.php/Cisco-vpn (у меня тож 1841).
winbindd поднят и работает.

Код: Выделить всё

testsamba# ps -ax | grep winbindd
  805  ??  Ss     0:00.22 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  819  ??  I      0:00.29 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  825  ??  I      0:00.08 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  836  ??  I      0:00.01 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  858  ??  I      0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
сам радиус тоже.

Код: Выделить всё

testsamba# ps -ax | grep radi
 1331   2  I+     0:02.04 radiusd -X
При попытке авторизации пишет:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.104.251:1645, id=27, length=168
        Framed-Protocol = PPP
        User-Name = "testuser@BT"
        MS-CHAP-Challenge = 0x7769a9a57c9365b460a35af3124ceaab
        MS-CHAP2-Response = 0x0100762c314a34473d29c9da60351bd5e1270000000000000000cb523bf67ae2af70463a071ac102ba08970950968bf77418
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000003B"
        NAS-Identifier = "Router_2.bt"
        Event-Timestamp = "May 29 2012 18:22:11 SAMST"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
  modcall[authorize]: module "preprocess" returns ok for request 1
  modcall[authorize]: module "chap" returns noop for request 1
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 1
    rlm_realm: Looking up realm "BT" for User-Name = "testuser@BT"
    rlm_realm: No such realm "BT"
  modcall[authorize]: module "suffix" returns noop for request 1
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 1
    users: Matched entry DEFAULT at line 153
    users: Matched entry DEFAULT at line 172
    users: Matched entry DEFAULT at line 184
  modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 1
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser@BT with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser@BT'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 77
radius_xlat:  '--challenge=a547d7e96455338c'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=cb523bf67ae2af70463a071ac102ba08970950968bf77418'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 1
modcall: leaving group MS-CHAP (returns reject) for request 1
auth: Failed to validate the user.
Delaying request 1 for 1 seconds
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 27 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 27 with timestamp 4fc4db63
Nothing to do.  Sleeping until we see a request.







rad_recv: Access-Request packet from host 192.168.104.251:1645, id=28, length=165
        Framed-Protocol = PPP
        User-Name = "testuser"
        MS-CHAP-Challenge = 0xcde8b9c404f7498880d6a52c2209f988
        MS-CHAP2-Response = 0x010016c79ac0f684b01f93b854d845de85ce0000000000000000b95342632574d96fc6f08c990ef225e9b90da3a397465863
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000003C"
        NAS-Identifier = "Router_2.bt"
        Event-Timestamp = "May 29 2012 18:22:24 SAMST"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 2
  modcall[authorize]: module "preprocess" returns ok for request 2
  modcall[authorize]: module "chap" returns noop for request 2
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 2
    rlm_realm: No '@' in User-Name = "testuser", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "suffix" returns noop for request 2
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 2
    users: Matched entry DEFAULT at line 153
    users: Matched entry DEFAULT at line 172
    users: Matched entry DEFAULT at line 184
  modcall[authorize]: module "files" returns ok for request 2
modcall: leaving group authorize (returns ok) for request 2
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 2
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: cd
radius_xlat:  '--challenge=d8e1c604e6d94989'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=b95342632574d96fc6f08c990ef225e9b90da3a397465863'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 2
modcall: leaving group MS-CHAP (returns reject) for request 2
auth: Failed to validate the user.
Delaying request 2 for 1 seconds
Finished request 2
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 28 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 2 ID 28 with timestamp 4fc4db71
Nothing to do.  Sleeping until we see a request.
При этом проверки аутентификации проходят:

Код: Выделить всё

testsamba# wbinfo -a testuser%12345
plaintext password authentication failed
Could not authenticate user testuser%12345 with plaintext password
challenge/response password authentication succeeded

testsamba# ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)
ЧЯДНТ? Были проблемы со стартом winbindd, но их благополучно решил. Путь до ntlm_auth указан верно (раньше на него ругался, пофиксил).
Ну и эта падла не пишет логи нормально. Приходится запускать с ключом -X чтоб все на экран сыпалось. (права на файлы верные). По ошибке Exec-Program output: Reading winbind reply failed! (0xc0000001) гугл ничего чтобы помогло решить проблему не показал.
Буду благодарен за пинок в нужном направлении.
Последний раз редактировалось f_andrey 2012-05-30 15:33:15, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Avendeil
рядовой
Сообщения: 20
Зарегистрирован: 2011-09-19 16:30:33

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Avendeil » 2012-06-01 16:51:39

скромно шаркает ножкой. Бобик совсем сдох, да? Немного другой лог, гугление которого тоже не помогло :(

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.104.251:1645, id=25, length=159
        Framed-Protocol = PPP
        User-Name = "testuser"
        MS-CHAP-Challenge = 0xa263027ff22005760e7f5f1634a455d6
        MS-CHAP2-Response = 0x01001cd43f994344c6618faaee45b5331a8800000000000000002322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000001D"
        NAS-Identifier = "Router_2.bt"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
radius_xlat:  '/var/log/radacct//auth-detail-20120601'
rlm_detail: /var/log/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radacct//auth-detail-20120601
  modcall[authorize]: module "auth_log" returns ok for request 0
  modcall[authorize]: module "chap" returns noop for request 0
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 0
    rlm_realm: No '\' in User-Name = "testuser", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "ntdomain" returns noop for request 0
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 0
modcall: leaving group authorize (returns ok) for request 0
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: a2
radius_xlat:  '--challenge=08c7c075a51f3946'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
Delaying request 0 for 1 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 25 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 25 with timestamp 4fc8c837
Nothing to do.  Sleeping until we see a request.

Аватара пользователя
Dark_fisher
мл. сержант
Сообщения: 86
Зарегистрирован: 2011-09-13 18:05:32
Откуда: Файна Юкрайна

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Dark_fisher » 2012-06-01 17:37:29

Меня слегка смущают следующие строки строки.
rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: a2
radius_xlat: '--challenge=08c7c075a51f3946'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
И можно немного информации о том на какой основе построен домен (на основе Samba, или у вас отдельно Cisco сервер с виндовым АД), политики на доступ пользователей в домен и т.д.
из ваших логов практически ничего не понять о структуре сети.
Мы поедем, мы помчимся, на оленях утром ранним....

Avendeil
рядовой
Сообщения: 20
Зарегистрирован: 2011-09-19 16:30:33

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Avendeil » 2012-06-01 17:47:12

домен win2008r2. Доступ стандартный, т.е. зарегистрированный пользователь может зайти на любую машину.
По выделенному, действительно занятно. Но насколько я помню это из за неверного указания домена. Никак не могу запомнить как надо указывать, domain\user , user@domain , DOMAIN\user или user@DOMAIN . Сейчас проверю. И покажу этот же кусок лога.

при указании DOMAIN\user

Код: Выделить всё

auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat:  '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 6d
radius_xlat:  '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
при указании же домена в нижнем регистре тоже самое только

Код: Выделить всё

radius_xlat:  '--domain=bt'
учетка testuser обладает обычными юзерскими правами. Состоит в группе одного из отделов.
Последний раз редактировалось Avendeil 2012-06-01 17:48:01, всего редактировалось 1 раз.

Аватара пользователя
Dark_fisher
мл. сержант
Сообщения: 86
Зарегистрирован: 2011-09-13 18:05:32
Откуда: Файна Юкрайна

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Dark_fisher » 2012-06-01 17:47:50

эээ.
Немного поправлюсь (устал на работе уже, читаю через строчку)
Как построен домен уже понял. Судя по логу, не находит именно суффикса домена в имени пользователя.
Если у вас NT-Domain, то попробуйте записать Юзверя как "Домен"\"Логин".
по крайней мере мне в Виндовом окружении с сиськой 1841 было именно так.
И проверьте в каком виде у вас пишутся юзерлогины в самбе.
Мы поедем, мы помчимся, на оленях утром ранним....

Avendeil
рядовой
Сообщения: 20
Зарегистрирован: 2011-09-19 16:30:33

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Avendeil » 2012-06-01 17:50:30

проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domain\user . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.

Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!

Аватара пользователя
Dark_fisher
мл. сержант
Сообщения: 86
Зарегистрирован: 2011-09-13 18:05:32
Откуда: Файна Юкрайна

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Dark_fisher » 2012-06-01 17:52:00

Код: Выделить всё

  rlm_mschap: [b]No User-Password configured[/b].  Cannot create LM-Password.
  rlm_mschap:[b] No User-Password configured[/b].  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat:  '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 6d
radius_xlat:  '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: [b]Reading winbind reply failed! [/b](0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.

Просматриваем пароли.
Почему не принимает с NT-Domain, NT-Password ?
Мы поедем, мы помчимся, на оленях утром ранним....

Аватара пользователя
Dark_fisher
мл. сержант
Сообщения: 86
Зарегистрирован: 2011-09-13 18:05:32
Откуда: Файна Юкрайна

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Dark_fisher » 2012-06-01 17:54:30

Avendeil писал(а):проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domain\user . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.

Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!

Ну положим скрипт оно проганяет полностью.
Вот только условия в скрипте фейлятся.
В логе же написано что Скрипт Фейл.
То есть скрипт вызвался, Самба его обрабатывать начала, да вот только он сфейлился
Мы поедем, мы помчимся, на оленях утром ранним....

Avendeil
рядовой
Сообщения: 20
Зарегистрирован: 2011-09-19 16:30:33

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Avendeil » 2012-06-01 18:06:58

окай. То ли лыжи не едут, то ли я. кхм.

Код: Выделить всё

testsamba# /usr/local/bin/ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)
Что править? т.е. неверно указываются параметры --challenge и(или) --nt-response. Вот только скорей всего генерятся они каждый раз уникально.

то что проблема скорей всего в этом месте я решил уже 4 дня назад. Остальное время мучал гугл.

bossded
проходил мимо

Re: FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение bossded » 2012-08-02 14:30:33

Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее - напишите пожалуйста.

letnab001
проходил мимо
Сообщения: 1
Зарегистрирован: 2016-07-04 15:03:32

FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение letnab001 » 2016-07-04 15:08:55

Господа подскажите.
вот лог

Код: Выделить всё

[mschap] Creating challenge hash with username: tftadmin
[mschap] expand: %{mschap:Challenge} -> 889dade9815638df
[mschap] expand: --challenge=%{%{mschap:Challenge}:-00} -> --challenge=889dade9815638df
[mschap] expand: %{mschap:NT-Response} -> 7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
[mschap] expand: --nt-response=%{%{mschap:NT-Response}:-00} -> --nt-response=7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
[mschap] External script failed.
что то с winbind? куда копать?

snorlov
подполковник
Сообщения: 3924
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение snorlov » 2016-07-04 15:30:44

bossded писал(а):Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее - напишите пожалуйста.
А вы не пробовали добавить ему права на /var/db/sa,ba/winbindd_privileged...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35437
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

FreeRADIUS+SAMBA+AD(+сisco)

Непрочитанное сообщение Alex Keda » 2016-07-05 7:36:15

Дык, он ответ вроде не разобрал....
Убей их всех! Бог потом рассортирует...