а с сертификатами, которые сам радиус генерит, должно работать?
а то таже фигня...
Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
ядерный взрыв...смертельно красиво...жаль, что не вечно...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
хм... поднял на линухе, все взлетело
или с фрей что-то не так, или потому что между точкой и радиусом есть еще один шлюз...
завтра буду проверять
или с фрей что-то не так, или потому что между точкой и радиусом есть еще один шлюз...
завтра буду проверять
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
поднял на еще одном сервере, на фре
при авторизации юзера (кусок):
на другом сервере:
тоже при авторизации:
что ему не хвататет для открытия EAP-сессии? почему он думает, что она уже открыта?
пиндец какой-то...
конфиги одинаковые, скопировал с рабочего на нерабочий...
Код: Выделить всё
# uname -a
FreeBSD boomer.brain.lan 6.3-RELEASE-p13 FreeBSD 6.3-RELEASE-p13 #0: Thu Oct 1 22:14:44 UTC 2009 root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC i386
Код: Выделить всё
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 54Mbps 802.11g"
EAP-Message = 0x020f00261900170301001b00ed9a193f2d8c672bf5ab3b4b22f022457cb1cda774b863a45366
NAS-IP-Address = 192.168.15.3
NAS-Port = 1
NAS-Port-Id = "STA port # 1"
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] Found realm "DEFAULT"
[suffix] Adding Stripped-User-Name = "user1"
[suffix] Adding Realm = "DEFAULT"
[suffix] Authentication realm is LOCAL.
++[suffix] returns ok
[ntdomain] Request already proxied. Ignoring.
++[ntdomain] returns ok
[eap] EAP packet type response id 15 length 38
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established. Decoding tunneled attributes.
[peap] Peap state send tlv success
[peap] Received EAP-TLV response.
[peap] Success
[eap] Freeing handler
++[eap] returns ok
# Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 15 to 192.168.15.3 port 1080
MS-MPPE-Recv-Key = 0x4b46b84fbcb8de89d9eb52f49af330062f62b62292a6e5db56c3d7a9e62cf5db
MS-MPPE-Send-Key = 0x9ccf0f52390875cafcae6a70026ca659354688153ec997bf698cad7c1f3f7111
EAP-Message = 0x030f0004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "user1"
Finished request 14.
Going to the next request
Waking up in 4.8 seconds.
Cleaning up request 5 ID 6 with timestamp +40
Cleaning up request 6 ID 7 with timestamp +40
Cleaning up request 7 ID 8 with timestamp +40
Cleaning up request 8 ID 9 with timestamp +40
Cleaning up request 9 ID 10 with timestamp +40
Cleaning up request 10 ID 11 with timestamp +40
Cleaning up request 11 ID 12 with timestamp +40
Cleaning up request 12 ID 13 with timestamp +40
Cleaning up request 13 ID 14 with timestamp +40
Cleaning up request 14 ID 15 with timestamp +40
Ready to process requests.
на другом сервере:
Код: Выделить всё
# uname -a
FreeBSD gate.brain.lan 7.1-RELEASE-p16 FreeBSD 7.1-RELEASE-p16 #13: Fri Sep 2 19:02:55 EEST 2011 eugene@gate.brain.lan:/usr/obj/usr/src/sys/GENERIC i386
Код: Выделить всё
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 54Mbps 802.11g"
EAP-Message = 0x0200000a017573657231
NAS-IP-Address = 192.168.15.3
NAS-Port = 1
NAS-Port-Id = "STA port # 1"
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] Found realm "DEFAULT"
[suffix] Adding Stripped-User-Name = "user1"
[suffix] Adding Realm = "DEFAULT"
[suffix] Authentication realm is LOCAL.
++[suffix] returns ok
[ntdomain] Request already proxied. Ignoring.
++[ntdomain] returns ok
[eap] EAP packet type response id 0 length 10
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
[files] users: Matched entry user1 at line 204
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING: Auth-Type already set. Not setting to PAP
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authenticate {...}
[eap] EAP Identity
[eap] processing type tls
[tls] Initiate
[tls] Start returned 1
++[eap] returns handled
Sending Access-Challenge of id 0 to 192.168.15.3 port 1031
EAP-Message = 0x010100061920
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xf5d81498f5d90d0b6f521f7a1917ea50
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 192.168.15.3 port 1031, id=0, length=189
Sending duplicate reply to client dwl2100 port 1031 - ID: 0
Sending Access-Challenge of id 0 to 192.168.15.3 port 1031
Waking up in 1.9 seconds.
Cleaning up request 0 ID 0 with timestamp +28
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0xf5d81498f5d90d0b did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.
пиндец какой-то...
конфиги одинаковые, скопировал с рабочего на нерабочий...
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
AstaRoot
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
По теме. Может кому пригодится, конфигурирование клиентов на Windows 7, Android, Symbian, iPhone - ссыль
-
Gavin
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Как победить проблему
[mschap] ERROR: User-Name (HP_MINI\User) is not the same as MS-CHAP Name (User) from EAP-MSCHAPv2
Видел выше в форуме человек сталкивался.
[mschap] ERROR: User-Name (HP_MINI\User) is not the same as MS-CHAP Name (User) from EAP-MSCHAPv2
Видел выше в форуме человек сталкивался.
-
InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
настройки обрезки домена
ну вот и сказочке конец, кто слушал, тот молодец.
-
gavin
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2012-01-13 8:21:38
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
А поконкретнее? в каком модуле?
пробовал в preprocess добавить параметр with_ntdomain_hack = yes, но на eap модуль это никак не влияет.
пробовал в preprocess добавить параметр with_ntdomain_hack = yes, но на eap модуль это никак не влияет.
-
gavin
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2012-01-13 8:21:38
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
В preprocess добавляю параметр with_ntdomain_hack = yes, получаю другую ошибку:
[eap] Identity does not match User-Name, setting from EAP Identity.
авторизация eap + mschapv2 + mysql
[eap] Identity does not match User-Name, setting from EAP Identity.
авторизация eap + mschapv2 + mysql
-
fox
- ст. лейтенант
- Сообщения: 1154
- Зарегистрирован: 2008-07-24 0:25:31
- Откуда: Ukraine, Donetsk
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Доброе время суток!
Статья супер, всё классно работает… Автору респект!
Но есть пара проблем, текстовый конфиг не есть удобно, когда у тебя с 10ток точек доступа банда админов которые боятся BSD да и всем админам давать доступ к серванту не стоит. Решил к MySQL прикрутить, что бы через веб морду рулили… Вроде всё прикрутил но вот не работает и в лог лезет следующая инфа:
Я так понимаю возникла загвоздка с таблицей radreply и radusergroup.
Они у меня пустые я не знаю что туда вбить, подскажите пожалуйста?
Спасибо за внимание!
Статья супер, всё классно работает… Автору респект!
Но есть пара проблем, текстовый конфиг не есть удобно, когда у тебя с 10ток точек доступа банда админов которые боятся BSD да и всем админам давать доступ к серванту не стоит. Решил к MySQL прикрутить, что бы через веб морду рулили… Вроде всё прикрутил но вот не работает и в лог лезет следующая инфа:
Код: Выделить всё
rad_recv: Access-Request packet from host 192.168.224.64 port 2048, id=16, length=145
User-Name = "fox"
NAS-IP-Address = 192.168.224.64
NAS-Port = 0
Called-Station-Id = "54-E6-FC-E5-4B-F6:FOX-WRK"
Calling-Station-Id = "70-F3-95-E8-3D-29"
Framed-MTU = 1400
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 0Mbps 802.11"
EAP-Message = 0x0201000801666f78
Message-Authenticator = 0x061dcf5db39a7162218c391bea671739
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[ntdomain] No '\' in User-Name = "fox", looking up realm NULL
[ntdomain] Found realm "DEFAULT"
[ntdomain] Adding Stripped-User-Name = "fox"
[ntdomain] Adding Realm = "DEFAULT"
[ntdomain] Authentication realm is LOCAL.
++[ntdomain] returns ok
[eap] EAP packet type response id 1 length 8
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
[sql] expand: %{User-Name} -> fox
[sql] sql_set_user escaped user --> 'fox'
rlm_sql (sql): Reserving sql socket id: 4
[sql] expand: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'fox' ORDER BY id
[sql] User found in radcheck table
[sql] expand: SELECT id, username, attribute, value, op FROM radreply WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radreply WHERE username = 'fox' ORDER BY id
[sql] expand: SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority -> SELECT groupname FROM radusergroup WHERE username = 'fox' ORDER BY priority
rlm_sql_mysql: MYSQL check_error: 1146 received
[sql] database query error, SELECT groupname FROM radusergroup WHERE username = 'fox' ORDER BY priority: п?п?п?п?п?я?п? 'radiuswifi.radusergroup' пҐп? я?я?я?п?я?я?п?я?п?я?
[sql] Error retrieving group list
[sql] Error processing groups; rejecting user
rlm_sql (sql): Released sql socket id: 4
++[sql] returns fail
Using Post-Auth-Type Reject
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> fox
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 16 to 192.168.224.64 port 2048
Waking up in 4.9 seconds.
Cleaning up request 0 ID 16 with timestamp +15
Ready to process requests.
Они у меня пустые я не знаю что туда вбить, подскажите пожалуйста?
Спасибо за внимание!
Да пребудет с нами сила!!!
Всех убью, один останусь!
Всех убью, один останусь!
-
salimk
- рядовой
- Сообщения: 25
- Зарегистрирован: 2008-08-04 15:19:29
- Откуда: Казахстан, Алматы
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Странно я когда я настраивал винду седьмую и висту, я так с бубном и галлюциногенными грибами не шаманил,bbk писал(а):Скрины по настройке Win 7 для связки Freeradius2 + EAP-TLS + WPA2 + Windows7bbk писал(а):Настроил связку Freeradius2 + EAP-TLS + WPA2 + WindowsXP по вашей статье. С Windows XP всё без проблем работает.
Но к сожалению никак не получается сделать всё тоже самое для Windows7.
Дайте пожалуйста подробную инструкцию, если кто может, по настройке Windows7 под этуже связку.
Решение во вложении
я проста установил сертификаты и подключился к сети так же и как на ХР
Жизнь нужно прожить так, чтобы было стыдно рассказать, но приятно вспомнить.
-
w01f14
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Прошу подсказать мне, возможно ли отключить проверку сертификатов в радиус сервере и оставить проверку только по логину и паролю.
Сейчас возможность подключения есть у андроидов и айфонов(айфон выдает предупреждение о не проверенном сертификате). Проблема с подключением к Wi-Fi Windows устройств которые без отключения проверки сертификата в настройках подключения WI-FI подключатся к сети ни как не хотят. =((
Задача: Раздавать пациентам клиники интернет используя логин и пароль(Что то типа защиты от использования сети Wi-Fi сотрудниками клиники). Объяснять больным людям как и где убрать галочку идея плохая.
Буду благодарен за подсказки наводки и т.д.
Сейчас возможность подключения есть у андроидов и айфонов(айфон выдает предупреждение о не проверенном сертификате). Проблема с подключением к Wi-Fi Windows устройств которые без отключения проверки сертификата в настройках подключения WI-FI подключатся к сети ни как не хотят. =((
Задача: Раздавать пациентам клиники интернет используя логин и пароль(Что то типа защиты от использования сети Wi-Fi сотрудниками клиники). Объяснять больным людям как и где убрать галочку идея плохая.
Буду благодарен за подсказки наводки и т.д.
-
buryanov
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2008-04-29 13:41:48
- Откуда: Харьков
- Контактная информация:
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Вам лучше в таком случае сделать captive portal
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
buryanov*ukr.net
icq# 118639660; skype: buryanov
-
w01f14
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Для решения своей проблемы использовал
FreeBSD + FreeRadius2 + Mysql + Apache + Точки доступа Dir-615 С прошивкой dd-wrt С опцией hotspot Chillispot .
Теперь имеем:
Подключаемся к точки доступа без авторизации, открываем браузер принимаем не проверенный сертификат, появляется страница авторизации вводим выданный медсестрами пациенту логин и пароль, вуаля мы в интернете.
По вопросам могу помочь andrey@zlodeev.com.
FreeBSD + FreeRadius2 + Mysql + Apache + Точки доступа Dir-615 С прошивкой dd-wrt С опцией hotspot Chillispot .
Теперь имеем:
Подключаемся к точки доступа без авторизации, открываем браузер принимаем не проверенный сертификат, появляется страница авторизации вводим выданный медсестрами пациенту логин и пароль, вуаля мы в интернете.
По вопросам могу помочь andrey@zlodeev.com.
-
w01f14
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
P.S. Спасибо buryanov за наводку на решение.
PSS Сорри за офф. топ.
PSS Сорри за офф. топ.
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Статью напиши...
-
Alexander_318i
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2012-11-21 9:58:54
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Есть проблема с freeradius 2.1.7. Локально аутентификация проходит на ура - вот дебаг сервера:
При удаленной аутентификации с ОС Windows XP SP3 аутентификация не проходит. Вот листинг дебага:
Клиентом служит D-Link Des-3828. С freeradius столкнулся впервые. Подскажите куда копать?
Код: Выделить всё
rad_recv: Access-Request packet from host 192.168.136.88 port 34182, id=240, len gth=60
User-Name = "testuser"
User-Password = "testuser"
NAS-IP-Address = 192.168.136.88
NAS-Port = 1812
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log] expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail -%Y%m%d -> /var/log/radius/radacct/192.168.136.88/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expan ds to /var/log/radius/radacct/192.168.136.88/auth-detail-20121121
[auth_log] expand: %t -> Wed Nov 21 08:22:52 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
++[files] returns noop
[sql] expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 4
[sql] expand: SELECT id, username, attribute, value, op FROM radchec k WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radcheck WHERE usern ame = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'testuser' ORDER BY id
[sql] User found in radcheck table
[sql] expand: SELECT id, username, attribute, value, op FROM radrepl y WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radreply WHERE usern ame = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radreply WHERE username = 'testuser' ORDER BY id
[sql] expand: SELECT groupname FROM radusergroup WHERE use rname = '%{SQL-User-Name}' ORDER BY priority -> SELECT groupname FROM radusergroup WHERE username = 'testuser' ORDER BY priority
rlm_sql_mysql: query: SELECT groupname FROM radusergroup WH ERE username = 'testuser' ORDER BY priority
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "testuser"
[pap] Using clear text password "testuser"
[pap] User authenticated successfully
++[pap] returns ok
expand: goodpass -> goodpass
Login OK: [testuser/testuser] (from client server.zi port 1812) goodpass
+- entering group post-auth {...}
[sql] expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
[sql] expand: %{User-Password} -> testuser
[sql] expand: INSERT INTO radpostauth (username, pas s, reply, authdate) VALUES ( '%{User-Name}', '%{%{User-Password}:-%{Chap-Password} }', '%{reply:Packet-Type}', '%S') -> INSERT INTO radpo stauth (username, pass, reply, authdate) VALUES ( 'testuser', 'testuser', 'Access-Accept', '2012-11-21 08:22:5 2')
[sql] expand: /var/log/radius/sqltrace.sql -> /var/log/radius/sqltrace.sql
rlm_sql (sql) in sql_postauth: query is INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( 'testuser', 'testuser', 'Access-Accept', '2012-11-21 08:22:52')
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql_mysql: query: INSERT INTO radpostauth (userna me, pass, reply, authdate) VALUES ( 'testuser', 'testuser', 'Access-Accept', '2012-11-21 08:22:52')
rlm_sql (sql): Released sql socket id: 3
++[sql] returns ok
[sql_log] Processing sql_log_postauth
[sql_log] expand: %{User-Name} -> testuser
[sql_log] expand: %{%{User-Name}:-DEFAULT} -> testuser
[sql_log] sql_set_user escaped user --> 'testuser'
[sql_log] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details
[sql_log] expand: INSERT INTO radpostauth (userna me, pass, reply, authdate) VALUES ('%{User-Name}', '%{Use r-Password:-Chap-Password}', '%{reply:Packet-Type}', '%S'); -> INSER T INTO radpostauth (username, pass, reply, authdate) VALUE S ('testuser', 'testuser', 'Access-Accept' , '2012-11-21 08:22:52');
[sql_log] expand: /var/log/radius/radacct/sql-relay -> /var/log/radius/rad acct/sql-relay
++[sql_log] returns ok
++[exec] returns noop
Sending Access-Accept of id 240 to 192.168.136.88 port 34182
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 240 with timestamp +1901
Ready to process requests.Код: Выделить всё
rad_recv: Access-Request packet from host 192.168.136.210 port 8021, id=8, length=228
Framed-MTU = 1466
NAS-IP-Address = 192.168.136.210
NAS-Identifier = "D-Link"
User-Name = "testuser"
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Type = Ethernet
NAS-Port-Id = "ether1_1"
Called-Station-Id = "00-19-5b-f3-c5-00"
Calling-Station-Id = "00-22-64-5c-df-23"
Connect-Info = "CONNECT Ethernet 100Mbps Full duplex"
State = 0x89f05b348ff842993489b5a8dae508e8
EAP-Message = 0x0208002419001703010019afe8aa68babf480f3d53edc9dd1d569187cadb734a4e6f1ad6
Message-Authenticator = 0xd23082ac9e4aace39609be655d8fd2cf
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log] expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] expand: %t -> Wed Nov 21 08:29:54 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 8 length 36
[eap] Continuing tunnel setup.
++[eap] returns ok
++[unix] returns notfound
++[files] returns noop
[sql] expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 2
[sql] expand: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'testuser' ORDER BY id
[sql] User found in radcheck table
[sql] expand: SELECT id, username, attribute, value, op FROM radreply WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radreply WHERE username = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radreply WHERE username = 'testuser' ORDER BY id
[sql] expand: SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority -> SELECT groupname FROM radusergroup WHERE username = 'testuser' ORDER BY priority
rlm_sql_mysql: query: SELECT groupname FROM radusergroup WHERE username = 'testuser' ORDER BY priority
rlm_sql (sql): Released sql socket id: 2
++[sql] returns ok
rlm_checkval: Item Name: Calling-Station-Id, Value: 00-22-64-5c-df-23
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = EAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established. Decoding tunneled attributes.
[peap] Identity - testuser
[peap] Got tunneled request
EAP-Message = 0x0208000d017465737475736572
server {
PEAP: Got tunneled identity of testuser
PEAP: Setting default EAP type for tunneled EAP session.
PEAP: Setting User-Name to testuser
Sending tunneled request
EAP-Message = 0x0208000d017465737475736572
FreeRADIUS-Proxied-To = 127.0.0.1
User-Name = "testuser"
server inner-tunnel {
+- entering group authorize {...}
++[chap] returns noop
++[mschap] returns noop
++[unix] returns notfound
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
++[control] returns noop
[eap] Request is supposed to be proxied to Realm LOCAL. Not doing EAP.
++[eap] returns noop
++[files] returns noop
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns noop
WARNING: You set Proxy-To-Realm = LOCAL, but the realm does not exist! Cancelling invalid proxy request.
No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
Failed to authenticate the user.
expand: badpass -> badpass
Login incorrect: [testuser/<no User-Password attribute>] (from client private-network-1 port 0 via TLS tunnel) badpass
} # server inner-tunnel
[peap] Got tunneled reply code 3
[peap] Got tunneled reply RADIUS code 3
[peap] Tunneled authentication was rejected.
[peap] FAILURE
++[eap] returns handled
Sending Access-Challenge of id 8 to 192.168.136.210 port 8021
EAP-Message = 0x010900261900170301001b8904fe6150cd0920fcf22c03a085a10f27a7494caadac8489f1aad
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x89f05b348ef942993489b5a8dae508e8
Finished request 7.
Going to the next request
Waking up in 4.3 seconds.
rad_recv: Access-Request packet from host 192.168.136.210 port 8021, id=9, length=230
Framed-MTU = 1466
NAS-IP-Address = 192.168.136.210
NAS-Identifier = "D-Link"
User-Name = "testuser"
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Type = Ethernet
NAS-Port-Id = "ether1_1"
Called-Station-Id = "00-19-5b-f3-c5-00"
Calling-Station-Id = "00-22-64-5c-df-23"
Connect-Info = "CONNECT Ethernet 100Mbps Full duplex"
State = 0x89f05b348ef942993489b5a8dae508e8
EAP-Message = 0x020900261900170301001be5b97196746ab67115fb829ab6985105f8e76f8cc65d0c5facd4eb
Message-Authenticator = 0xc999f7c7ce50aad5fb1b9b27e67159b9
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log] expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] expand: %t -> Wed Nov 21 08:29:54 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 9 length 38
[eap] Continuing tunnel setup.
++[eap] returns ok
++[unix] returns notfound
++[files] returns noop
[sql] expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 1
[sql] expand: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'testuser' ORDER BY id
[sql] User found in radcheck table
[sql] expand: SELECT id, username, attribute, value, op FROM radreply WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radreply WHERE username = 'testuser' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radreply WHERE username = 'testuser' ORDER BY id
[sql] expand: SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority -> SELECT groupname FROM radusergroup WHERE username = 'testuser' ORDER BY priority
rlm_sql_mysql: query: SELECT groupname FROM radusergroup WHERE username = 'testuser' ORDER BY priority
rlm_sql (sql): Released sql socket id: 1
++[sql] returns ok
rlm_checkval: Item Name: Calling-Station-Id, Value: 00-22-64-5c-df-23
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = EAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established. Decoding tunneled attributes.
[peap] Received EAP-TLV response.
[peap] Had sent TLV failure. User was rejected earlier in this session.
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
expand: badpass -> badpass
Login incorrect: [testuser/<via Auth-Type = EAP>] (from client private-network-1 port 1 cli 00-22-64-5c-df-23) badpass
Using Post-Auth-Type Reject
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> testuser
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 8 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 8
Sending Access-Reject of id 9 to 192.168.136.210 port 8021
EAP-Message = 0x04090004
Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.3 seconds.
Cleaning up request 0 ID 1 with timestamp +41
Cleaning up request 1 ID 2 with timestamp +41
Waking up in 0.4 seconds.
Cleaning up request 2 ID 3 with timestamp +41
Cleaning up request 3 ID 4 with timestamp +41
Cleaning up request 4 ID 5 with timestamp +41
Cleaning up request 5 ID 6 with timestamp +41
Waking up in 0.1 seconds.
Cleaning up request 6 ID 7 with timestamp +41
Cleaning up request 7 ID 8 with timestamp +41
Waking up in 1.0 seconds.
Cleaning up request 8 ID 9 with timestamp +41
Ready to process requests. -
Alexander_318i
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2012-11-21 9:58:54
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Разобрался с проблемой удаленной аутентификции. Дело было в файле /raddb/sites-enabled/@inner-tunnel. Необходимо добавить в файле секцию
Код:
sql{}
Используется также веб-приложение Daloradius для добавления пользователей.
Дело вот в чем - аутентификация проходит. Пользователя можно активировать и деактивировать с помощью Daloradius , но при деактивации и последующей активации, пользователь может аутентифицироваться и получить доступ к сети только передернув сетевой кабель. Это не совсем удобно. Подскажите какие есть варианты настройки повторной аутентификации пользователей без манипуляций с кабельной системой?
Код:
sql{}
Используется также веб-приложение Daloradius для добавления пользователей.
Дело вот в чем - аутентификация проходит. Пользователя можно активировать и деактивировать с помощью Daloradius , но при деактивации и последующей активации, пользователь может аутентифицироваться и получить доступ к сети только передернув сетевой кабель. Это не совсем удобно. Подскажите какие есть варианты настройки повторной аутентификации пользователей без манипуляций с кабельной системой?
-
Alexander_318i
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2012-11-21 9:58:54
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
И как инициировать выход из авторизованного состояния на стороне пользователя (ОС Windows XP)?
-
Alexander_318i
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2012-11-21 9:58:54
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Подскажите - как инициировать log-in и log-out пользователей Windows XP? В качестве NAS используется D-Link Des-3828.
Постоянно приходится передергивать сетевой кабель, чтобы снова войти в сеть при неудачной авторизации.
Постоянно приходится передергивать сетевой кабель, чтобы снова войти в сеть при неудачной авторизации.
-
Krylov Alexey
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Поставил на FreeBSD 9.1-RELEASE-p5 порт freeradius-2.2.0.
И застрял на генерировании сертификатов. Предложенные скрипты у меня не запустились, так как все сертификаты у меня в /etc/ssl, не отработал CA.pl
Может как-то можно обойти этот CA.pl или как то указать ему другой openssl.cnf?
Нашел скрипт /usr/local/etc/raddb/certs/bootstrap. C его помощью сгенерировал сертификаты, однако это пользы не принесло. Подскажите, как быть?
И застрял на генерировании сертификатов. Предложенные скрипты у меня не запустились, так как все сертификаты у меня в /etc/ssl, не отработал CA.pl
Может как-то можно обойти этот CA.pl или как то указать ему другой openssl.cnf?
Нашел скрипт /usr/local/etc/raddb/certs/bootstrap. C его помощью сгенерировал сертификаты, однако это пользы не принесло. Подскажите, как быть?
-
Krylov Alexey
- проходил мимо
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Вопрос про сертификаты очень темная штука.... Убил пару дней, но к положительному результату так и не пришел. Отсюда есть вопросы:Krylov Alexey писал(а):Поставил на FreeBSD 9.1-RELEASE-p5 порт freeradius-2.2.0.
И застрял на генерировании сертификатов. Предложенные скрипты у меня не запустились, так как все сертификаты у меня в /etc/ssl, не отработал CA.pl
Может как-то можно обойти этот CA.pl или как то указать ему другой openssl.cnf?
Нашел скрипт /usr/local/etc/raddb/certs/bootstrap. C его помощью сгенерировал сертификаты, однако это пользы не принесло. Подскажите, как быть?
1. Есть несколько способов создания и подписания сертификатов - автоматизированный (через скрипты, в котором часто присутствуют баги), и через основную команду openssl. В чем преимущество и недостатки указанных способов ?
2. На сегодняшний день есть разные типы сертификатов (отличающих по расширению): pem, crt, key, csr. Как эти типы сертифкатов подружить в freeradius2, или он принимает только pem ?
3. Как сгенирировать сертификат для клиентов для инфраструктуры "Enterprise" (штатными командами openssl), а также как его загрузить в мобильные устройства (через почту ?). Будут ли отличаться методы реализации в зависимости от ОС (IOS, android и т.д) ?
-
smart20
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2014-07-15 23:51:10
Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
Вопрос про сертификаты очень темная штука.... Убил пару дней, но к положительному результату так и не пришел. Отсюда есть вопросы:
1. Есть несколько способов создания и подписания сертификатов - автоматизированный (через скрипты, в котором часто присутствуют баги), и через основную команду openssl. В чем преимущество и недостатки указанных способов ?
2. На сегодняшний день есть разные типы сертификатов (отличающих по расширению): pem, crt, key, csr. Как эти типы сертифкатов подружить в freeradius2, или он принимает только pem ?
3. Как сгенирировать сертификат для клиентов для инфраструктуры "Enterprise" (штатными командами openssl), а также как его загрузить в мобильные устройства (через почту ?). Будут ли отличаться методы реализации в зависимости от ОС (IOS, android и т.д) ?
1. Есть несколько способов создания и подписания сертификатов - автоматизированный (через скрипты, в котором часто присутствуют баги), и через основную команду openssl. В чем преимущество и недостатки указанных способов ?
2. На сегодняшний день есть разные типы сертификатов (отличающих по расширению): pem, crt, key, csr. Как эти типы сертифкатов подружить в freeradius2, или он принимает только pem ?
3. Как сгенирировать сертификат для клиентов для инфраструктуры "Enterprise" (штатными командами openssl), а также как его загрузить в мобильные устройства (через почту ?). Будут ли отличаться методы реализации в зависимости от ОС (IOS, android и т.д) ?