Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение schizoid » 2011-10-06 16:41:11

а с сертификатами, которые сам радиус генерит, должно работать?
а то таже фигня...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение schizoid » 2011-10-06 22:09:48

хм... поднял на линухе, все взлетело
или с фрей что-то не так, или потому что между точкой и радиусом есть еще один шлюз...
завтра буду проверять
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение schizoid » 2011-10-10 12:46:30

поднял на еще одном сервере, на фре

Код: Выделить всё

# uname -a
FreeBSD boomer.brain.lan 6.3-RELEASE-p13 FreeBSD 6.3-RELEASE-p13 #0: Thu Oct  1 22:14:44 UTC 2009     root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386
при авторизации юзера (кусок):

Код: Выделить всё

        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x020f00261900170301001b00ed9a193f2d8c672bf5ab3b4b22f022457cb1cda774b863a45366
        NAS-IP-Address = 192.168.15.3
        NAS-Port = 1
        NAS-Port-Id = "STA port # 1"
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] Found realm "DEFAULT"
[suffix] Adding Stripped-User-Name = "user1"
[suffix] Adding Realm = "DEFAULT"
[suffix] Authentication realm is LOCAL.
++[suffix] returns ok
[ntdomain] Request already proxied.  Ignoring.
++[ntdomain] returns ok
[eap] EAP packet type response id 15 length 38
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established.  Decoding tunneled attributes.
[peap] Peap state send tlv success
[peap] Received EAP-TLV response.
[peap] Success
[eap] Freeing handler
++[eap] returns ok
# Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 15 to 192.168.15.3 port 1080
        MS-MPPE-Recv-Key = 0x4b46b84fbcb8de89d9eb52f49af330062f62b62292a6e5db56c3d7a9e62cf5db
        MS-MPPE-Send-Key = 0x9ccf0f52390875cafcae6a70026ca659354688153ec997bf698cad7c1f3f7111
        EAP-Message = 0x030f0004
        Message-Authenticator = 0x00000000000000000000000000000000
        User-Name = "user1"
Finished request 14.
Going to the next request
Waking up in 4.8 seconds.
Cleaning up request 5 ID 6 with timestamp +40
Cleaning up request 6 ID 7 with timestamp +40
Cleaning up request 7 ID 8 with timestamp +40
Cleaning up request 8 ID 9 with timestamp +40
Cleaning up request 9 ID 10 with timestamp +40
Cleaning up request 10 ID 11 with timestamp +40
Cleaning up request 11 ID 12 with timestamp +40
Cleaning up request 12 ID 13 with timestamp +40
Cleaning up request 13 ID 14 with timestamp +40
Cleaning up request 14 ID 15 with timestamp +40
Ready to process requests.
    

на другом сервере:

Код: Выделить всё

# uname -a
FreeBSD gate.brain.lan 7.1-RELEASE-p16 FreeBSD 7.1-RELEASE-p16 #13: Fri Sep  2 19:02:55 EEST 2011     eugene@gate.brain.lan:/usr/obj/usr/src/sys/GENERIC  i386
тоже при авторизации:

Код: Выделить всё

	NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x0200000a017573657231
        NAS-IP-Address = 192.168.15.3
        NAS-Port = 1
        NAS-Port-Id = "STA port # 1"
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] Found realm "DEFAULT"
[suffix] Adding Stripped-User-Name = "user1"
[suffix] Adding Realm = "DEFAULT"
[suffix] Authentication realm is LOCAL.
++[suffix] returns ok
[ntdomain] Request already proxied.  Ignoring.
++[ntdomain] returns ok
[eap] EAP packet type response id 0 length 10
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
[files] users: Matched entry user1 at line 204
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING: Auth-Type already set.  Not setting to PAP
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authenticate {...}
[eap] EAP Identity
[eap] processing type tls
[tls] Initiate
[tls] Start returned 1
++[eap] returns handled
Sending Access-Challenge of id 0 to 192.168.15.3 port 1031
        EAP-Message = 0x010100061920
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0xf5d81498f5d90d0b6f521f7a1917ea50
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 192.168.15.3 port 1031, id=0, length=189
Sending duplicate reply to client dwl2100 port 1031 - ID: 0
Sending Access-Challenge of id 0 to 192.168.15.3 port 1031
Waking up in 1.9 seconds.
Cleaning up request 0 ID 0 with timestamp +28
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0xf5d81498f5d90d0b did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.
что ему не хвататет для открытия EAP-сессии? почему он думает, что она уже открыта?
пиндец какой-то...

конфиги одинаковые, скопировал с рабочего на нерабочий...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

AstaRoot
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение AstaRoot » 2011-10-29 22:25:03

По теме. Может кому пригодится, конфигурирование клиентов на Windows 7, Android, Symbian, iPhone - ссыль

Gavin
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Gavin » 2012-01-12 17:22:03

Как победить проблему
[mschap] ERROR: User-Name (HP_MINI\User) is not the same as MS-CHAP Name (User) from EAP-MSCHAPv2

Видел выше в форуме человек сталкивался.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение InventoR » 2012-01-12 17:31:00

настройки обрезки домена
ну вот и сказочке конец, кто слушал, тот молодец.

gavin
проходил мимо
Сообщения: 2
Зарегистрирован: 2012-01-13 8:21:38

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение gavin » 2012-01-13 8:24:41

А поконкретнее? в каком модуле?
пробовал в preprocess добавить параметр with_ntdomain_hack = yes, но на eap модуль это никак не влияет.

gavin
проходил мимо
Сообщения: 2
Зарегистрирован: 2012-01-13 8:21:38

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение gavin » 2012-01-13 12:29:13

В preprocess добавляю параметр with_ntdomain_hack = yes, получаю другую ошибку:
[eap] Identity does not match User-Name, setting from EAP Identity.

авторизация eap + mschapv2 + mysql

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение fox » 2012-03-13 22:20:32

Доброе время суток!
Статья супер, всё классно работает… Автору респект!
Но есть пара проблем, текстовый конфиг не есть удобно, когда у тебя с 10ток точек доступа банда админов которые боятся BSD да и всем админам давать доступ к серванту не стоит. Решил к MySQL прикрутить, что бы через веб морду рулили… Вроде всё прикрутил но вот не работает и в лог лезет следующая инфа:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.224.64 port 2048, id=16, length=145
        User-Name = "fox"
        NAS-IP-Address = 192.168.224.64
        NAS-Port = 0
        Called-Station-Id = "54-E6-FC-E5-4B-F6:FOX-WRK"
        Calling-Station-Id = "70-F3-95-E8-3D-29"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 0Mbps 802.11"
        EAP-Message = 0x0201000801666f78
        Message-Authenticator = 0x061dcf5db39a7162218c391bea671739
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[ntdomain] No '\' in User-Name = "fox", looking up realm NULL
[ntdomain] Found realm "DEFAULT"
[ntdomain] Adding Stripped-User-Name = "fox"
[ntdomain] Adding Realm = "DEFAULT"
[ntdomain] Authentication realm is LOCAL.
++[ntdomain] returns ok
[eap] EAP packet type response id 1 length 8
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
[sql]   expand: %{User-Name} -> fox
[sql] sql_set_user escaped user --> 'fox'
rlm_sql (sql): Reserving sql socket id: 4
[sql]   expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'fox'           ORDER BY id
[sql] User found in radcheck table
[sql]   expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'fox'           ORDER BY id
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'fox'           ORDER BY priority
rlm_sql_mysql: MYSQL check_error: 1146 received
[sql] database query error, SELECT groupname           FROM radusergroup           WHERE username = 'fox'           ORDER BY priority: п?п?п?п?п?я?п? 'radiuswifi.radusergroup' пҐп? я?я?я?п?я?я?п?я?п?я?
[sql] Error retrieving group list
[sql] Error processing groups; rejecting user
rlm_sql (sql): Released sql socket id: 4
++[sql] returns fail
Using Post-Auth-Type Reject
# Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> fox
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 16 to 192.168.224.64 port 2048
Waking up in 4.9 seconds.
Cleaning up request 0 ID 16 with timestamp +15
Ready to process requests.

Я так понимаю возникла загвоздка с таблицей radreply и radusergroup.
Они у меня пустые я не знаю что туда вбить, подскажите пожалуйста?

Спасибо за внимание!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
salimk
рядовой
Сообщения: 25
Зарегистрирован: 2008-08-04 15:19:29
Откуда: Казахстан, Алматы
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение salimk » 2012-05-29 17:00:24

bbk писал(а):
bbk писал(а):Настроил связку Freeradius2 + EAP-TLS + WPA2 + WindowsXP по вашей статье. С Windows XP всё без проблем работает.
Но к сожалению никак не получается сделать всё тоже самое для Windows7.
Дайте пожалуйста подробную инструкцию, если кто может, по настройке Windows7 под этуже связку.
Скрины по настройке Win 7 для связки Freeradius2 + EAP-TLS + WPA2 + Windows7
Решение во вложении :)
Странно я когда я настраивал винду седьмую и висту, я так с бубном и галлюциногенными грибами не шаманил,
я проста установил сертификаты и подключился к сети так же и как на ХР
Жизнь нужно прожить так, чтобы было стыдно рассказать, но приятно вспомнить.

w01f14
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение w01f14 » 2012-09-27 16:51:43

Прошу подсказать мне, возможно ли отключить проверку сертификатов в радиус сервере и оставить проверку только по логину и паролю.

Сейчас возможность подключения есть у андроидов и айфонов(айфон выдает предупреждение о не проверенном сертификате). Проблема с подключением к Wi-Fi Windows устройств которые без отключения проверки сертификата в настройках подключения WI-FI подключатся к сети ни как не хотят. =((

Задача: Раздавать пациентам клиники интернет используя логин и пароль(Что то типа защиты от использования сети Wi-Fi сотрудниками клиники). Объяснять больным людям как и где убрать галочку идея плохая.
Буду благодарен за подсказки наводки и т.д.

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение buryanov » 2012-09-27 17:00:56

Вам лучше в таком случае сделать captive portal
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

w01f14
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение w01f14 » 2012-10-05 13:30:44

Для решения своей проблемы использовал
FreeBSD + FreeRadius2 + Mysql + Apache + Точки доступа Dir-615 С прошивкой dd-wrt С опцией hotspot Chillispot .
Теперь имеем:
Подключаемся к точки доступа без авторизации, открываем браузер принимаем не проверенный сертификат, появляется страница авторизации вводим выданный медсестрами пациенту логин и пароль, вуаля мы в интернете.
По вопросам могу помочь andrey@zlodeev.com.

w01f14
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение w01f14 » 2012-10-05 13:33:36

P.S. Спасибо buryanov за наводку на решение.
PSS Сорри за офф. топ.

snorlov
подполковник
Сообщения: 3684
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение snorlov » 2012-10-05 13:34:32

Статью напиши...

Alexander_318i
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-11-21 9:58:54

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Alexander_318i » 2012-11-21 10:32:32

Есть проблема с freeradius 2.1.7. Локально аутентификация проходит на ура - вот дебаг сервера:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.136.88 port 34182, id=240, len                                                                                                 gth=60
        User-Name = "testuser"
        User-Password = "testuser"
        NAS-IP-Address = 192.168.136.88
        NAS-Port = 1812
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log]      expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail                                                                                                 -%Y%m%d -> /var/log/radius/radacct/192.168.136.88/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expan                                                                                                 ds to /var/log/radius/radacct/192.168.136.88/auth-detail-20121121
[auth_log]      expand: %t -> Wed Nov 21 08:22:52 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
++[files] returns noop
[sql]   expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 4
[sql]   expand: SELECT id, username, attribute, value, op           FROM radchec                                                                                                 k           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT                                                                                                  id, username, attribute, value, op           FROM radcheck           WHERE usern                                                                                                 ame = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM                                                                                                  radcheck           WHERE username = 'testuser'           ORDER BY id
[sql] User found in radcheck table
[sql]   expand: SELECT id, username, attribute, value, op           FROM radrepl                                                                                                 y           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT                                                                                                  id, username, attribute, value, op           FROM radreply           WHERE usern                                                                                                 ame = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM                                                                                                  radreply           WHERE username = 'testuser'           ORDER BY id
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE use                                                                                                 rname = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname                                                                                                            FROM radusergroup           WHERE username = 'testuser'           ORDER BY                                                                                                  priority
rlm_sql_mysql: query:  SELECT groupname           FROM radusergroup           WH                                                                                                 ERE username = 'testuser'           ORDER BY priority
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!    Replacing User-Password in config items with Cleartext-Password.     !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good"               !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "testuser"
[pap] Using clear text password "testuser"
[pap] User authenticated successfully
++[pap] returns ok
        expand: goodpass -> goodpass
Login OK: [testuser/testuser] (from client server.zi port 1812) goodpass
+- entering group post-auth {...}
[sql]   expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
[sql]   expand: %{User-Password} -> testuser
[sql]   expand: INSERT INTO radpostauth                           (username, pas                                                                                                 s, reply, authdate)                           VALUES (                                                                                                                            '%{User-Name}',                           '%{%{User-Password}:-%{Chap-Password}                                                                                                 }',                           '%{reply:Packet-Type}', '%S') -> INSERT INTO radpo                                                                                                 stauth                           (username, pass, reply, authdate)                                                                                                                            VALUES (                           'testuser',                                                                                                                            'testuser',                           'Access-Accept', '2012-11-21 08:22:5                                                                                                 2')
[sql]   expand: /var/log/radius/sqltrace.sql -> /var/log/radius/sqltrace.sql
rlm_sql (sql) in sql_postauth: query is INSERT INTO radpostauth                                                                                                                            (username, pass, reply, authdate)                           VALUES (                                                                                                                            'testuser',                           'testuser',                                                                                                                            'Access-Accept', '2012-11-21 08:22:52')
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql_mysql: query:  INSERT INTO radpostauth                           (userna                                                                                                 me, pass, reply, authdate)                           VALUES (                                                                                                                            'testuser',                           'testuser',                                                                                                                            'Access-Accept', '2012-11-21 08:22:52')
rlm_sql (sql): Released sql socket id: 3
++[sql] returns ok
[sql_log] Processing sql_log_postauth
[sql_log]       expand: %{User-Name} -> testuser
[sql_log]       expand: %{%{User-Name}:-DEFAULT} -> testuser
[sql_log] sql_set_user escaped user --> 'testuser'
[sql_log] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for                                                                                                  details
[sql_log]       expand: INSERT INTO radpostauth                          (userna                                                                                                 me, pass, reply, authdate) VALUES                        ('%{User-Name}', '%{Use                                                                                                 r-Password:-Chap-Password}',             '%{reply:Packet-Type}', '%S'); -> INSER                                                                                                 T INTO radpostauth                       (username, pass, reply, authdate) VALUE                                                                                                 S                        ('testuser', 'testuser',                'Access-Accept'                                                                                                 , '2012-11-21 08:22:52');
[sql_log]       expand: /var/log/radius/radacct/sql-relay -> /var/log/radius/rad                                                                                                 acct/sql-relay
++[sql_log] returns ok
++[exec] returns noop
Sending Access-Accept of id 240 to 192.168.136.88 port 34182
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 240 with timestamp +1901
Ready to process requests.
При удаленной аутентификации с ОС Windows XP SP3 аутентификация не проходит. Вот листинг дебага:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.136.210 port 8021, id=8, length=228
        Framed-MTU = 1466
        NAS-IP-Address = 192.168.136.210
        NAS-Identifier = "D-Link"
        User-Name = "testuser"
        Service-Type = Framed-User
        NAS-Port = 1
        NAS-Port-Type = Ethernet
        NAS-Port-Id = "ether1_1"
        Called-Station-Id = "00-19-5b-f3-c5-00"
        Calling-Station-Id = "00-22-64-5c-df-23"
        Connect-Info = "CONNECT Ethernet 100Mbps Full duplex"
        State = 0x89f05b348ff842993489b5a8dae508e8
        EAP-Message = 0x0208002419001703010019afe8aa68babf480f3d53edc9dd1d569187cadb734a4e6f1ad6
        Message-Authenticator = 0xd23082ac9e4aace39609be655d8fd2cf
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log]      expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log]      expand: %t -> Wed Nov 21 08:29:54 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 8 length 36
[eap] Continuing tunnel setup.
++[eap] returns ok
++[unix] returns notfound
++[files] returns noop
[sql]   expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 2
[sql]   expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'testuser'           ORDER BY id
[sql] User found in radcheck table
[sql]   expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'testuser'           ORDER BY id
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'testuser'           ORDER BY priority
rlm_sql_mysql: query:  SELECT groupname           FROM radusergroup           WHERE username = 'testuser'           ORDER BY priority
rlm_sql (sql): Released sql socket id: 2
++[sql] returns ok
rlm_checkval: Item Name: Calling-Station-Id, Value: 00-22-64-5c-df-23
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = EAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!    Replacing User-Password in config items with Cleartext-Password.     !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good"               !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established.  Decoding tunneled attributes.
[peap] Identity - testuser
[peap] Got tunneled request
        EAP-Message = 0x0208000d017465737475736572
server  {
  PEAP: Got tunneled identity of testuser
  PEAP: Setting default EAP type for tunneled EAP session.
  PEAP: Setting User-Name to testuser
Sending tunneled request
        EAP-Message = 0x0208000d017465737475736572
        FreeRADIUS-Proxied-To = 127.0.0.1
        User-Name = "testuser"
server inner-tunnel {
+- entering group authorize {...}
++[chap] returns noop
++[mschap] returns noop
++[unix] returns notfound
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
++[control] returns noop
[eap] Request is supposed to be proxied to Realm LOCAL.  Not doing EAP.
++[eap] returns noop
++[files] returns noop
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns noop
WARNING: You set Proxy-To-Realm = LOCAL, but the realm does not exist!  Cancelling invalid proxy request.
No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
Failed to authenticate the user.
        expand: badpass -> badpass
Login incorrect: [testuser/<no User-Password attribute>] (from client private-network-1 port 0 via TLS tunnel) badpass
} # server inner-tunnel
[peap] Got tunneled reply code 3
[peap] Got tunneled reply RADIUS code 3
[peap] Tunneled authentication was rejected.
[peap] FAILURE
++[eap] returns handled
Sending Access-Challenge of id 8 to 192.168.136.210 port 8021
        EAP-Message = 0x010900261900170301001b8904fe6150cd0920fcf22c03a085a10f27a7494caadac8489f1aad
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x89f05b348ef942993489b5a8dae508e8
Finished request 7.
Going to the next request
Waking up in 4.3 seconds.
rad_recv: Access-Request packet from host 192.168.136.210 port 8021, id=9, length=230
        Framed-MTU = 1466
        NAS-IP-Address = 192.168.136.210
        NAS-Identifier = "D-Link"
        User-Name = "testuser"
        Service-Type = Framed-User
        NAS-Port = 1
        NAS-Port-Type = Ethernet
        NAS-Port-Id = "ether1_1"
        Called-Station-Id = "00-19-5b-f3-c5-00"
        Calling-Station-Id = "00-22-64-5c-df-23"
        Connect-Info = "CONNECT Ethernet 100Mbps Full duplex"
        State = 0x89f05b348ef942993489b5a8dae508e8
        EAP-Message = 0x020900261900170301001be5b97196746ab67115fb829ab6985105f8e76f8cc65d0c5facd4eb
        Message-Authenticator = 0xc999f7c7ce50aad5fb1b9b27e67159b9
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log]      expand: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log] /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/192.168.136.210/auth-detail-20121121
[auth_log]      expand: %t -> Wed Nov 21 08:29:54 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "testuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 9 length 38
[eap] Continuing tunnel setup.
++[eap] returns ok
++[unix] returns notfound
++[files] returns noop
[sql]   expand: %{User-Name} -> testuser
[sql] sql_set_user escaped user --> 'testuser'
rlm_sql (sql): Reserving sql socket id: 1
[sql]   expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'testuser'           ORDER BY id
[sql] User found in radcheck table
[sql]   expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'testuser'           ORDER BY id
rlm_sql_mysql: query:  SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'testuser'           ORDER BY id
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'testuser'           ORDER BY priority
rlm_sql_mysql: query:  SELECT groupname           FROM radusergroup           WHERE username = 'testuser'           ORDER BY priority
rlm_sql (sql): Released sql socket id: 1
++[sql] returns ok
rlm_checkval: Item Name: Calling-Station-Id, Value: 00-22-64-5c-df-23
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = EAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!    Replacing User-Password in config items with Cleartext-Password.     !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good"               !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established.  Decoding tunneled attributes.
[peap] Received EAP-TLV response.
[peap]  Had sent TLV failure.  User was rejected earlier in this session.
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
        expand: badpass -> badpass
Login incorrect: [testuser/<via Auth-Type = EAP>] (from client private-network-1 port 1 cli 00-22-64-5c-df-23) badpass
Using Post-Auth-Type Reject
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> testuser
 attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 8 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 8
Sending Access-Reject of id 9 to 192.168.136.210 port 8021
        EAP-Message = 0x04090004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.3 seconds.
Cleaning up request 0 ID 1 with timestamp +41
Cleaning up request 1 ID 2 with timestamp +41
Waking up in 0.4 seconds.
Cleaning up request 2 ID 3 with timestamp +41
Cleaning up request 3 ID 4 with timestamp +41
Cleaning up request 4 ID 5 with timestamp +41
Cleaning up request 5 ID 6 with timestamp +41
Waking up in 0.1 seconds.
Cleaning up request 6 ID 7 with timestamp +41
Cleaning up request 7 ID 8 with timestamp +41
Waking up in 1.0 seconds.
Cleaning up request 8 ID 9 with timestamp +41
Ready to process requests. 
Клиентом служит D-Link Des-3828. С freeradius столкнулся впервые. Подскажите куда копать?

Alexander_318i
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-11-21 9:58:54

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Alexander_318i » 2012-11-28 9:53:44

Разобрался с проблемой удаленной аутентификции. Дело было в файле /raddb/sites-enabled/@inner-tunnel. Необходимо добавить в файле секцию
Код:
sql{}

Используется также веб-приложение Daloradius для добавления пользователей.
Дело вот в чем - аутентификация проходит. Пользователя можно активировать и деактивировать с помощью Daloradius , но при деактивации и последующей активации, пользователь может аутентифицироваться и получить доступ к сети только передернув сетевой кабель. Это не совсем удобно. Подскажите какие есть варианты настройки повторной аутентификации пользователей без манипуляций с кабельной системой?

Alexander_318i
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-11-21 9:58:54

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Alexander_318i » 2012-11-28 10:15:57

И как инициировать выход из авторизованного состояния на стороне пользователя (ОС Windows XP)?

Alexander_318i
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-11-21 9:58:54

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Alexander_318i » 2012-12-04 11:49:09

Подскажите - как инициировать log-in и log-out пользователей Windows XP? В качестве NAS используется D-Link Des-3828.
Постоянно приходится передергивать сетевой кабель, чтобы снова войти в сеть при неудачной авторизации.

Krylov Alexey
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Krylov Alexey » 2013-10-11 15:52:50

Поставил на FreeBSD 9.1-RELEASE-p5 порт freeradius-2.2.0.
И застрял на генерировании сертификатов. Предложенные скрипты у меня не запустились, так как все сертификаты у меня в /etc/ssl, не отработал CA.pl
Может как-то можно обойти этот CA.pl или как то указать ему другой openssl.cnf?
Нашел скрипт /usr/local/etc/raddb/certs/bootstrap. C его помощью сгенерировал сертификаты, однако это пользы не принесло. Подскажите, как быть?

Krylov Alexey
проходил мимо

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение Krylov Alexey » 2014-07-16 2:32:15

Krylov Alexey писал(а):Поставил на FreeBSD 9.1-RELEASE-p5 порт freeradius-2.2.0.
И застрял на генерировании сертификатов. Предложенные скрипты у меня не запустились, так как все сертификаты у меня в /etc/ssl, не отработал CA.pl
Может как-то можно обойти этот CA.pl или как то указать ему другой openssl.cnf?
Нашел скрипт /usr/local/etc/raddb/certs/bootstrap. C его помощью сгенерировал сертификаты, однако это пользы не принесло. Подскажите, как быть?
Вопрос про сертификаты очень темная штука.... Убил пару дней, но к положительному результату так и не пришел. Отсюда есть вопросы:

1. Есть несколько способов создания и подписания сертификатов - автоматизированный (через скрипты, в котором часто присутствуют баги), и через основную команду openssl. В чем преимущество и недостатки указанных способов ?
2. На сегодняшний день есть разные типы сертификатов (отличающих по расширению): pem, crt, key, csr. Как эти типы сертифкатов подружить в freeradius2, или он принимает только pem ?
3. Как сгенирировать сертификат для клиентов для инфраструктуры "Enterprise" (штатными командами openssl), а также как его загрузить в мобильные устройства (через почту ?). Будут ли отличаться методы реализации в зависимости от ОС (IOS, android и т.д) ?

smart20
проходил мимо
Сообщения: 1
Зарегистрирован: 2014-07-15 23:51:10

Re: Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP

Непрочитанное сообщение smart20 » 2014-07-16 2:36:17

Вопрос про сертификаты очень темная штука.... Убил пару дней, но к положительному результату так и не пришел. Отсюда есть вопросы:

1. Есть несколько способов создания и подписания сертификатов - автоматизированный (через скрипты, в котором часто присутствуют баги), и через основную команду openssl. В чем преимущество и недостатки указанных способов ?
2. На сегодняшний день есть разные типы сертификатов (отличающих по расширению): pem, crt, key, csr. Как эти типы сертифкатов подружить в freeradius2, или он принимает только pem ?
3. Как сгенирировать сертификат для клиентов для инфраструктуры "Enterprise" (штатными командами openssl), а также как его загрузить в мобильные устройства (через почту ?). Будут ли отличаться методы реализации в зависимости от ОС (IOS, android и т.д) ?