Здравствуйте.
Настраиваю proftpd-1.3.2 с авторизации через freeradius 1.1.7.
В случае авторизации proftpd через pam (AuthPAM on) - все работает отлично.
AuthPAM on
AuthPamConfig proftpd
RadiusEngine off
Если пробовать авторизоваться через модуль для proftpd (RadiusEngine on) - начинаются проблемы с неправильной авторизации. Смотрю в логи радиуса, вместо пароля указана белиберда, как в случае если указан неправильный shared secret на радиус. Он точно правельный. Не могу понять в чем причина...
AuthPAM off
RadiusEngine on
RadiusAuthServer xxxx asd123
RadiusAcctServer xxxxx asd123
RadiusUserInfo 103 2000 /home/ /bin/ftponly
Ось, freebsd-7.2 (раньше стояла 7.1 – те же проблемы, на 6.3 таких проблем не было), 7.1 ставилась с нуля обновлялась до 7.2, пакеты соответственно тоже ставились с нуля. Конфиг proftpd один в один на всех осях.
Ах да, 6.3 была i386, 7.1,7.2 - amd64... Может из-за 64bit???
proftpd + freeradius
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: proftpd + freeradius
ручками рад тест проверь
и поковыряй может есть в паме тип пароля который передеться
сомнительно что это из за системы...
и поковыряй может есть в паме тип пароля который передеться
сомнительно что это из за системы...
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-08-22 12:32:12
Re: proftpd + freeradius
radtest проходит... как и все остальное (через pam) что работает через этот же радиус с тогоже самого клиента (ip адреса в clients.conf)...
как и сам proftpd если авторизацию через pam_radius прикрутить... но хотелось бы в радиусе получать ip адрес пользователя который подключился и снимать acct, по этому предпочтительнее использовать mod_radius от самого proftpd.
Радиус в дебаге:
в логах ftp
как и сам proftpd если авторизацию через pam_radius прикрутить... но хотелось бы в радиусе получать ip адрес пользователя который подключился и снимать acct, по этому предпочтительнее использовать mod_radius от самого proftpd.
Радиус в дебаге:
Код: Выделить всё
rad_recv: Access-Request packet from host XXXXX:28506, id=220, length=90
User-Name = "sawj"
User-Password = "\272\031\236\307\365I\350]\010\241\346\246\030\251\024\004"
NAS-Identifier = "ftp"
NAS-IP-Address = XXXXXXXX
NAS-Port = 21
NAS-Port-Type = Virtual
Calling-Station-Id = "XXXXXXXX"
Service-Type = 0x0000000100000000
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
radius_xlat: '/var/log/radius/radauth.log'
rlm_detail: /var/log/radius/radauth.log expands to /var/log/radius/radauth.log
modcall[authorize]: module "auth_log" returns ok for request 0
rlm_sql (sql): - sql_groupcmp
radius_xlat: 'sawj'
rlm_sql (sql): sql_set_user escaped user --> 'sawj'
radius_xlat: 'SELECT GroupName FROM usergroup WHERE UserName='sawj''
rlm_sql (sql): Reserving sql socket id: 1
rlm_sql (sql): - sql_groupcmp finished: User belongs in group ftp
rlm_sql (sql): Released sql socket id: 1
modcall[authorize]: module "preprocess" returns ok for request 0
modcall[authorize]: module "chap" returns noop for request 0
modcall[authorize]: module "files" returns notfound for request 0
radius_xlat: 'sawj'
rlm_sql (sql): sql_set_user escaped user --> 'sawj'
radius_xlat: 'SELECT id, UserName, Attribute, Value, op FROM radcheck WHERE Username = 'sawj' ORDER BY id'
rlm_sql (sql): Reserving sql socket id: 0
radius_xlat: 'SELECT radgroupcheck.id,radgroupcheck.GroupName,radgroupcheck.Attribute,radgroupcheck.Value,radgroupcheck.op FROM radgroupcheck,usergroup WHERE usergroup.Username = 'sawj' AND usergroup.GroupName = radgroupcheck.GroupName ORDER BY radgroupcheck.id'
radius_xlat: 'SELECT id, UserName, Attribute, Value, op FROM radreply WHERE Username = 'sawj' ORDER BY id'
radius_xlat: 'SELECT radgroupreply.id,radgroupreply.GroupName,radgroupreply.Attribute,radgroupreply.Value,radgroupreply.op FROM radgroupreply,usergroup WHERE usergroup.Username = 'sawj' AND usergroup.GroupName = radgroupreply.GroupName ORDER BY radgroupreply.id'
rlm_sql (sql): Released sql socket id: 0
rlm_sql (sql): No matching entry in the database for request from user [sawj]
modcall[authorize]: module "sql" returns notfound for request 0
radius_xlat: '/var/log/radius/radauth.log'
rlm_detail: /var/log/radius/radauth.log expands to /var/log/radius/radauth.log
modcall[authorize]: module "auth_log" returns ok for request 0
modcall: leaving group authorize (returns ok) for request 0
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Login incorrect: [sawj/\231\031\236\123\234\350]\010\241\23\44\030\251\024\021] (from client FTP port 21 cli XXXX)
WARNING: Unprintable characters in the password. ? Double-check the shared secret on the server and the NAS!
Delaying request 0 for 3 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---
Код: Выделить всё
May 12 20:03:59 mod_radius/0.9[28368]: sending auth request packet
May 12 20:03:59 mod_radius/0.9[28368]: sending packet to xxxxxxx:1812
May 12 20:03:59 mod_radius/0.9[28368]: receiving auth response packet
May 12 20:04:05 mod_radius/0.9[28368]: packet receive succeeded
May 12 20:04:05 mod_radius/0.9[28368]: verifying packet
May 12 20:04:05 mod_radius/0.9[28368]: packet verification failed: mismatched digests
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: proftpd + freeradius
нет такого юзераrlm_sql (sql): No matching entry in the database for request from user [sawj]
-
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2008-08-22 12:32:12
Re: proftpd + freeradius
Есть, он. Авторизация через pam проходит успешно.
Вот успешный реквест от proftpd с pam_radius:
Вот реквест с ошибкой от proftpd + mod_radius:
Поле User-Password всегда меняется, будто не правильно указан shared secret в clients.conf и мне не нравиться Service-Type... может из-за него...
Вот успешный реквест от proftpd с pam_radius:
Код: Выделить всё
Packet-Type = Access-Request
Tue May 12 20:19:30 2009
User-Name = "sawj"
User-Password = "XXXXXXXX"
NAS-Identifier = "ftp"
Service-Type = Authenticate-Only
NAS-IP-Address = XXXXXXXX
Client-IP-Address = XXXXXXXX
Huntgroup-Name = "ftpext"
Код: Выделить всё
Packet-Type = Access-Request
Tue May 12 20:03:59 2009
User-Name = "sawj"
User-Password = "@:+\123b\233ai\255^\034\300[4Sb"
NAS-Identifier = "ftp"
NAS-IP-Address = xxxxxxxxx
NAS-Port = 21
NAS-Port-Type = Virtual
Calling-Station-Id = "xxxxxxx"
Service-Type = 0x0000000100000000
Client-IP-Address = xxxxxxxxxx
Huntgroup-Name = "ftpext"
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: proftpd + freeradius
смори еще какие есть настройкиAuthPAM off
RadiusEngine on
RadiusAuthServer xxxx asd123
RadiusAcctServer xxxxx asd123
RadiusUserInfo 103 2000 /home/ /bin/ftponly
наверное не все.....
может еще какие есть параметры