Пытаюсь настроить связку freeradius+mschap+ntlm
Самба в домене -
ntlm_auth --request-nt-key --username=userboyko
password:
NT_STATUS_OK: Success (0x0)
Вначале ставил freeradius 2
Позже поставил 1.1.7
NTLM отрабатывает если судить по дебагу
Но клиент все равно продолжает пытаться авторизироваться
Во вложение полный дебаг радиуса
Куда смотреть ? Спасибо за помощь
rlm_eap: processing type mschapv2
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 13
rlm_mschap: Told to do MS-CHAPv2 for poberezhnyyy with NT-Password
radius_xlat: '--username=poberezhnyyy'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: 6e
radius_xlat: '--challenge=5630ce92ee0d11f1'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=6295a96c436a96a04938222b18ac294f2c4918c9c743bcfd'
Exec-Program output: NT_KEY: 50CF98C96F25B97CA39B2B85E4A868CC
Exec-Program-Wait: plaintext: NT_KEY: 50CF98C96F25B97CA39B2B85E4A868CC
Exec-Program: returned: 0
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 13
modcall: leaving group MS-CHAP (returns ok) for request 13
MSCHAP Success
modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
PEAP: Got tunneled Access-Challenge
modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
Sending Access-Challenge of id 94 to 10.110.0.14 port 32769
EAP-Message = 0x0109004a1900170301003fb90fbe0f1876167f9092cabed5f4653ece7929ddd1171ddf3e43d702353c62328bdda1d520d2154b74c4cfcca258b49b60ac7f52296bc0e27b15aed1165f9c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xcf79731b0a91f189d0776ceac2f09358
Finished request 13
Going to the next request
Waking up in 11 seconds...
--- Walking the entire request list ---
Cleaning up request 7 ID 88 with timestamp 4d628073
freeradius ntlm
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
freeradius ntlm
- Вложения
-
- 4lissyara.txt
- (53.55 КБ) 12 скачиваний
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
fox
- ст. лейтенант
- Сообщения: 1154
- Зарегистрирован: 2008-07-24 0:25:31
- Откуда: Ukraine, Donetsk
Re: freeradius ntlm
А для чего редиус что к чему ты вяжишь? Поподробней просто интересно...
Да пребудет с нами сила!!!
Всех убью, один останусь!
Всех убью, один останусь!
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
авторизация вай-фай пользователей с актив директори через радиус
Авторизация юзеров с файлика users проходит нормально, через tls по сертификатам тоже норма
Может кто-то хоть что-то подскажет?
Авторизация юзеров с файлика users проходит нормально, через tls по сертификатам тоже норма
Может кто-то хоть что-то подскажет?
-
fox
- ст. лейтенант
- Сообщения: 1154
- Зарегистрирован: 2008-07-24 0:25:31
- Откуда: Ukraine, Donetsk
Re: freeradius ntlm
К стате умно придумано а не поделитесь статьёй? по которой делали...papay писал(а):авторизация вай-фай пользователей с актив директори через радиус
Авторизация юзеров с файлика users проходит нормально, через tls по сертификатам тоже норма
Может кто-то хоть что-то подскажет?
Да пребудет с нами сила!!!
Всех убью, один останусь!
Всех убью, один останусь!
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
http://www.google.com.ua/search?hl=ru&s ... 2&aql=&oq=
пробовал по каким угодно статьям
ошибок при проверке mschap нету, а почему нету accept'а непонятно
пробовал по каким угодно статьям
ошибок при проверке mschap нету, а почему нету accept'а непонятно
-
fox
- ст. лейтенант
- Сообщения: 1154
- Зарегистрирован: 2008-07-24 0:25:31
- Откуда: Ukraine, Donetsk
Re: freeradius ntlm
Спасибо! Надо и себе, почитать...papay писал(а):http://www.google.com.ua/search?hl=ru&s ... 2&aql=&oq=
пробовал по каким угодно статьям
ошибок при проверке mschap нету, а почему нету accept'а непонятно
Да пребудет с нами сила!!!
Всех убью, один останусь!
Всех убью, один останусь!
-
Гость
- проходил мимо
Re: freeradius ntlm
а почем это видно что нет?а почему нету accept'а непонятно
в логе вообще все накучу, но замечательно
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
Sending Access-Challenge of id 94 to 10.110.0.14 port 32769
EAP-Message = 0x0109004a1900170301003fb90fbe0f1876167f9092cabed5f4653ece7929ddd1171ddf3e43d702353c62328bdda1d520d2154b74c4cfcca258b49b60ac7f52296bc0e27b15aed1165f9c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xcf79731b0a91f189d0776ceac2f09358
Finished request 13
Going to the next request
Waking up in 11 seconds...
--- Walking the entire request list ---
а должно быть что-то вроде
modcall[post-auth]: module "reply_log" returns ok for request 1
modcall: leaving group post-auth (returns ok) for request 1
Sending Access-Accept of id 39 to 192.17.144.2 port 3925
MS-CHAP2-Success =
0x02533d443734324339383338444541434146303141354346 334
13437363433363142464138313937314638
MS-MPPE-Recv-Key = 0xdc756f09359a7d521ae376189c6c4449
MS-MPPE-Send-Key = 0x237c89f4e9decfb9031e36f073218ba2
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
Finished request 1
на сколько я разобрался
modcall: leaving group authenticate (returns handled) for request 13
Sending Access-Challenge of id 94 to 10.110.0.14 port 32769
EAP-Message = 0x0109004a1900170301003fb90fbe0f1876167f9092cabed5f4653ece7929ddd1171ddf3e43d702353c62328bdda1d520d2154b74c4cfcca258b49b60ac7f52296bc0e27b15aed1165f9c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xcf79731b0a91f189d0776ceac2f09358
Finished request 13
Going to the next request
Waking up in 11 seconds...
--- Walking the entire request list ---
а должно быть что-то вроде
modcall[post-auth]: module "reply_log" returns ok for request 1
modcall: leaving group post-auth (returns ok) for request 1
Sending Access-Accept of id 39 to 192.17.144.2 port 3925
MS-CHAP2-Success =
0x02533d443734324339383338444541434146303141354346 334
13437363433363142464138313937314638
MS-MPPE-Recv-Key = 0xdc756f09359a7d521ae376189c6c4449
MS-MPPE-Send-Key = 0x237c89f4e9decfb9031e36f073218ba2
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
Finished request 1
на сколько я разобрался
-
Гость
- проходил мимо
Re: freeradius ntlm
что бы был mschap ответ
нужен chap/mschap запрос
а у вас EAP запрос, и такой же и ответ
всетаки прочитайте хотя бы одну статью до конца, а не прыгая по красивому тесту по тысячи статях
нужен chap/mschap запрос
а у вас EAP запрос, и такой же и ответ
всетаки прочитайте хотя бы одну статью до конца, а не прыгая по красивому тесту по тысячи статях
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
что-то в этом есть
буду пробовать
спасибо
буду пробовать
спасибо
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
http://wiki.freeradius.org/FreeRADIUS_A ... tion_HOWTO
согласно данной статьи используеться peap(eap)
In this file we specify the authentication method used by FreeRADIUS. We chose the PEAP (Protected EAP) method because it allows to use MSCHAPv2, a challenge/response protocol to authenticate against an Active Directory Windows Domain.
Replace the line default_eap_type = md5 with default_eap_type = peap.
пользователи прописаные в users
username1 Cleartext-Password := "user-password1", MS-CHAP-Use-NTLM-Auth := 0
нормально авторизируются
спасибо
согласно данной статьи используеться peap(eap)
In this file we specify the authentication method used by FreeRADIUS. We chose the PEAP (Protected EAP) method because it allows to use MSCHAPv2, a challenge/response protocol to authenticate against an Active Directory Windows Domain.
Replace the line default_eap_type = md5 with default_eap_type = peap.
пользователи прописаные в users
username1 Cleartext-Password := "user-password1", MS-CHAP-Use-NTLM-Auth := 0
нормально авторизируются
спасибо
-
papay
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-02-21 18:14:28
Re: freeradius ntlm
Неа )
просто появились кое-какие идеи
наткнулся на
http://freeradius.1045715.n5.nabble.com ... 80544.html
с понедельника буду что-то делать
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/mschapv2
[eap] processing type mschapv2
[mschapv2] +- entering group MS-CHAP {...}
[mschap] Told to do MS-CHAPv2 for testuser with NT-Password
[mschap] expand: %{Stripped-User-Name} ->
[mschap] ... expanding second conditional
[mschap] WARNING: Deprecated conditional expansion ":-". See "man unlang"
for details
[mschap] expand: %{User-Name:-None} -> testuser
[mschap] expand:
--username=%{%{Stripped-User-Name}:-%{User-Name:-None}} ->
--username=testuser
[mschap] mschap2: 89
[mschap] expand: --challenge=%{mschap:Challenge:-00} ->
--challenge=5ccbe526dee4fc55
[mschap] expand: --nt-response=%{mschap:NT-Response:-00} ->
--nt-response=019bafa0e1d0c84ebe56bf49d516762e7664f303968e8eba
Exec-Program output: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program-Wait: plaintext: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program: returned: 0
[mschap] adding MS-CHAPv2 MPPE keys
++[mschap] returns ok
MSCHAP Success
++[eap] returns handled
} # server inner-tunnel
[peap] Got tunneled reply code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled reply RADIUS code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled Access-Challenge
++[eap] returns handled
Sending Access-Challenge of id 93 to 10.110.0.14 port 32769
EAP-Message =
0x0108005b19001703010050dc4fdbec56b54ae7994195fd2b6465d0556079939073fda03eabb3615c41aa39026f22d96bd3677edc78d12806c61827835ca5d4ce1a8500fc7e16b3a25d1663d3a618d17a997491638e1da2910bccfc
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x3bc73a793dcf234d3e384ba3c8f0934d
Finished request 13.
Going to the next request
Waking up in 2.0 seconds.
это походу лог с 2.1.7
просто появились кое-какие идеи
наткнулся на
http://freeradius.1045715.n5.nabble.com ... 80544.html
с понедельника буду что-то делать
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/mschapv2
[eap] processing type mschapv2
[mschapv2] +- entering group MS-CHAP {...}
[mschap] Told to do MS-CHAPv2 for testuser with NT-Password
[mschap] expand: %{Stripped-User-Name} ->
[mschap] ... expanding second conditional
[mschap] WARNING: Deprecated conditional expansion ":-". See "man unlang"
for details
[mschap] expand: %{User-Name:-None} -> testuser
[mschap] expand:
--username=%{%{Stripped-User-Name}:-%{User-Name:-None}} ->
--username=testuser
[mschap] mschap2: 89
[mschap] expand: --challenge=%{mschap:Challenge:-00} ->
--challenge=5ccbe526dee4fc55
[mschap] expand: --nt-response=%{mschap:NT-Response:-00} ->
--nt-response=019bafa0e1d0c84ebe56bf49d516762e7664f303968e8eba
Exec-Program output: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program-Wait: plaintext: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program: returned: 0
[mschap] adding MS-CHAPv2 MPPE keys
++[mschap] returns ok
MSCHAP Success
++[eap] returns handled
} # server inner-tunnel
[peap] Got tunneled reply code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled reply RADIUS code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled Access-Challenge
++[eap] returns handled
Sending Access-Challenge of id 93 to 10.110.0.14 port 32769
EAP-Message =
0x0108005b19001703010050dc4fdbec56b54ae7994195fd2b6465d0556079939073fda03eabb3615c41aa39026f22d96bd3677edc78d12806c61827835ca5d4ce1a8500fc7e16b3a25d1663d3a618d17a997491638e1da2910bccfc
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x3bc73a793dcf234d3e384ba3c8f0934d
Finished request 13.
Going to the next request
Waking up in 2.0 seconds.
это походу лог с 2.1.7