FreeRADIUS+SAMBA+AD(+сisco)

Avendeil

Весь инет облазил. Но решения так и не нашел. Не проходит проверку юзер АДшки на циске и все тут. Делал по офф доку: http://wiki.freeradius.org/FreeRADIUS_A ... tion_HOWTO
циску настраивал по этому доку http://wiki.sirmax.noname.com.ua/index.php/Cisco-vpn (у меня тож 1841).
winbindd поднят и работает.

Код: Выделить всё

testsamba# ps -ax | grep winbindd
  805  ??  Ss     0:00.22 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  819  ??  I      0:00.29 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  825  ??  I      0:00.08 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  836  ??  I      0:00.01 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
  858  ??  I      0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf

сам радиус тоже.

Код: Выделить всё

testsamba# ps -ax | grep radi
 1331   2  I+     0:02.04 radiusd -X

При попытке авторизации пишет:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.104.251:1645, id=27, length=168
        Framed-Protocol = PPP
        User-Name = "testuser@BT"
        MS-CHAP-Challenge = 0x7769a9a57c9365b460a35af3124ceaab
        MS-CHAP2-Response = 0x0100762c314a34473d29c9da60351bd5e1270000000000000000cb523bf67ae2af70463a071ac102ba08970950968bf77418
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000003B"
        NAS-Identifier = "Router_2.bt"
        Event-Timestamp = "May 29 2012 18:22:11 SAMST"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
  modcall[authorize]: module "preprocess" returns ok for request 1
  modcall[authorize]: module "chap" returns noop for request 1
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 1
    rlm_realm: Looking up realm "BT" for User-Name = "testuser@BT"
    rlm_realm: No such realm "BT"
  modcall[authorize]: module "suffix" returns noop for request 1
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 1
    users: Matched entry DEFAULT at line 153
    users: Matched entry DEFAULT at line 172
    users: Matched entry DEFAULT at line 184
  modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 1
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser@BT with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser@BT'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 77
radius_xlat:  '--challenge=a547d7e96455338c'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=cb523bf67ae2af70463a071ac102ba08970950968bf77418'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 1
modcall: leaving group MS-CHAP (returns reject) for request 1
auth: Failed to validate the user.
Delaying request 1 for 1 seconds
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 27 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 27 with timestamp 4fc4db63
Nothing to do.  Sleeping until we see a request.







rad_recv: Access-Request packet from host 192.168.104.251:1645, id=28, length=165
        Framed-Protocol = PPP
        User-Name = "testuser"
        MS-CHAP-Challenge = 0xcde8b9c404f7498880d6a52c2209f988
        MS-CHAP2-Response = 0x010016c79ac0f684b01f93b854d845de85ce0000000000000000b95342632574d96fc6f08c990ef225e9b90da3a397465863
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000003C"
        NAS-Identifier = "Router_2.bt"
        Event-Timestamp = "May 29 2012 18:22:24 SAMST"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 2
  modcall[authorize]: module "preprocess" returns ok for request 2
  modcall[authorize]: module "chap" returns noop for request 2
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 2
    rlm_realm: No '@' in User-Name = "testuser", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "suffix" returns noop for request 2
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 2
    users: Matched entry DEFAULT at line 153
    users: Matched entry DEFAULT at line 172
    users: Matched entry DEFAULT at line 184
  modcall[authorize]: module "files" returns ok for request 2
modcall: leaving group authorize (returns ok) for request 2
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 2
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: cd
radius_xlat:  '--challenge=d8e1c604e6d94989'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=b95342632574d96fc6f08c990ef225e9b90da3a397465863'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 2
modcall: leaving group MS-CHAP (returns reject) for request 2
auth: Failed to validate the user.
Delaying request 2 for 1 seconds
Finished request 2
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 28 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 2 ID 28 with timestamp 4fc4db71
Nothing to do.  Sleeping until we see a request.

При этом проверки аутентификации проходят:

Код: Выделить всё

testsamba# wbinfo -a testuser%12345
plaintext password authentication failed
Could not authenticate user testuser%12345 with plaintext password
challenge/response password authentication succeeded

testsamba# ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)

ЧЯДНТ? Были проблемы со стартом winbindd, но их благополучно решил. Путь до ntlm_auth указан верно (раньше на него ругался, пофиксил).
Ну и эта падла не пишет логи нормально. Приходится запускать с ключом -X чтоб все на экран сыпалось. (права на файлы верные). По ошибке Exec-Program output: Reading winbind reply failed! (0xc0000001) гугл ничего чтобы помогло решить проблему не показал.
Буду благодарен за пинок в нужном направлении.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Avendeil

скромно шаркает ножкой. Бобик совсем сдох, да? Немного другой лог, гугление которого тоже не помогло

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.104.251:1645, id=25, length=159
        Framed-Protocol = PPP
        User-Name = "testuser"
        MS-CHAP-Challenge = 0xa263027ff22005760e7f5f1634a455d6
        MS-CHAP2-Response = 0x01001cd43f994344c6618faaee45b5331a8800000000000000002322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        NAS-IP-Address = 91.122.53.75
        Acct-Session-Id = "0000001D"
        NAS-Identifier = "Router_2.bt"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
radius_xlat:  '/var/log/radacct//auth-detail-20120601'
rlm_detail: /var/log/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radacct//auth-detail-20120601
  modcall[authorize]: module "auth_log" returns ok for request 0
  modcall[authorize]: module "chap" returns noop for request 0
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 0
    rlm_realm: No '\' in User-Name = "testuser", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "ntdomain" returns noop for request 0
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 0
modcall: leaving group authorize (returns ok) for request 0
  rad_check_password:  Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
  rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat:  '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: a2
radius_xlat:  '--challenge=08c7c075a51f3946'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
Delaying request 0 for 1 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 25 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 25 with timestamp 4fc8c837
Nothing to do.  Sleeping until we see a request.

Dark_fisher

Меня слегка смущают следующие строки строки.

rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: a2
radius_xlat: '--challenge=08c7c075a51f3946'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7'
Exec-Program output: Reading winbind reply failed! (0xc0000001)

И можно немного информации о том на какой основе построен домен (на основе Samba, или у вас отдельно Cisco сервер с виндовым АД), политики на доступ пользователей в домен и т.д.
из ваших логов практически ничего не понять о структуре сети.

Avendeil

домен win2008r2. Доступ стандартный, т.е. зарегистрированный пользователь может зайти на любую машину.
По выделенному, действительно занятно. Но насколько я помню это из за неверного указания домена. Никак не могу запомнить как надо указывать, domain\user , user@domain , DOMAIN\user или user@DOMAIN . Сейчас проверю. И покажу этот же кусок лога.

при указании DOMAIN\user

Код: Выделить всё

auth: type "MS-CHAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
  rlm_mschap: No User-Password configured.  Cannot create LM-Password.
  rlm_mschap: No User-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat:  '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 6d
radius_xlat:  '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.

при указании же домена в нижнем регистре тоже самое только

Код: Выделить всё

radius_xlat:  '--domain=bt'

учетка testuser обладает обычными юзерскими правами. Состоит в группе одного из отделов.

Dark_fisher

эээ.
Немного поправлюсь (устал на работе уже, читаю через строчку)
Как построен домен уже понял. Судя по логу, не находит именно суффикса домена в имени пользователя.
Если у вас NT-Domain, то попробуйте записать Юзверя как "Домен"\"Логин".
по крайней мере мне в Виндовом окружении с сиськой 1841 было именно так.
И проверьте в каком виде у вас пишутся юзерлогины в самбе.

Avendeil

проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domain\user . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.

Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!

Dark_fisher

Код: Выделить всё

  rlm_mschap: [b]No User-Password configured[/b].  Cannot create LM-Password.
  rlm_mschap:[b] No User-Password configured[/b].  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat:  '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat:  '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
 mschap2: 6d
radius_xlat:  '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat:  '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: [b]Reading winbind reply failed! [/b](0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
  rlm_mschap: External script failed.
  rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
  modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.

Просматриваем пароли.
Почему не принимает с NT-Domain, NT-Password ?

Dark_fisher

Avendeil писал(а):проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domain\user . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.

Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!

Ну положим скрипт оно проганяет полностью.
Вот только условия в скрипте фейлятся.
В логе же написано что Скрипт Фейл.
То есть скрипт вызвался, Самба его обрабатывать начала, да вот только он сфейлился

Avendeil

окай. То ли лыжи не едут, то ли я. кхм.

Код: Выделить всё

testsamba# /usr/local/bin/ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)

Что править? т.е. неверно указываются параметры --challenge и(или) --nt-response. Вот только скорей всего генерятся они каждый раз уникально.

то что проблема скорей всего в этом месте я решил уже 4 дня назад. Остальное время мучал гугл.

bossded · Непрочитанное сообщение **bossded** » 2012-08-02 14:30:33

Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее - напишите пожалуйста.

letnab001

Господа подскажите.
вот лог

Код: Выделить всё

[mschap] Creating challenge hash with username: tftadmin
[mschap] expand: %{mschap:Challenge} -> 889dade9815638df
[mschap] expand: --challenge=%{%{mschap:Challenge}:-00} -> --challenge=889dade9815638df
[mschap] expand: %{mschap:NT-Response} -> 7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
[mschap] expand: --nt-response=%{%{mschap:NT-Response}:-00} -> --nt-response=7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
[mschap] External script failed.

что то с winbind? куда копать?

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-04 15:30:44

bossded писал(а):Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее - напишите пожалуйста.

А вы не пробовали добавить ему права на /var/db/sa,ba/winbindd_privileged...

Alex Keda

Дык, он ответ вроде не разобрал....

forum.lissyara.su