proftpd + freeradius

[SawJ]

Здравствуйте.
Настраиваю proftpd-1.3.2 с авторизации через freeradius 1.1.7.
В случае авторизации proftpd через pam (AuthPAM on) - все работает отлично.

AuthPAM on
AuthPamConfig proftpd
RadiusEngine off

Если пробовать авторизоваться через модуль для proftpd (RadiusEngine on) - начинаются проблемы с неправильной авторизации. Смотрю в логи радиуса, вместо пароля указана белиберда, как в случае если указан неправильный shared secret на радиус. Он точно правельный. Не могу понять в чем причина...

AuthPAM off
RadiusEngine on
RadiusAuthServer xxxx asd123
RadiusAcctServer xxxxx asd123
RadiusUserInfo 103 2000 /home/ /bin/ftponly

Ось, freebsd-7.2 (раньше стояла 7.1 – те же проблемы, на 6.3 таких проблем не было), 7.1 ставилась с нуля обновлялась до 7.2, пакеты соответственно тоже ставились с нуля. Конфиг proftpd один в один на всех осях.
Ах да, 6.3 была i386, 7.1,7.2 - amd64... Может из-за 64bit???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

ручками рад тест проверь

и поковыряй может есть в паме тип пароля который передеться

сомнительно что это из за системы...

[SawJ]

radtest проходит... как и все остальное (через pam) что работает через этот же радиус с тогоже самого клиента (ip адреса в clients.conf)...
как и сам proftpd если авторизацию через pam_radius прикрутить... но хотелось бы в радиусе получать ip адрес пользователя который подключился и снимать acct, по этому предпочтительнее использовать mod_radius от самого proftpd.

Радиус в дебаге:

Код: Выделить всё

rad_recv: Access-Request packet from host XXXXX:28506, id=220, length=90
        User-Name = "sawj"
        User-Password = "\272\031\236\307\365I\350]\010\241\346\246\030\251\024\004"
        NAS-Identifier = "ftp"
        NAS-IP-Address = XXXXXXXX
        NAS-Port = 21
        NAS-Port-Type = Virtual
        Calling-Station-Id = "XXXXXXXX"
        Service-Type = 0x0000000100000000
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
radius_xlat:  '/var/log/radius/radauth.log'
rlm_detail: /var/log/radius/radauth.log expands to /var/log/radius/radauth.log
  modcall[authorize]: module "auth_log" returns ok for request 0
rlm_sql (sql): - sql_groupcmp
radius_xlat:  'sawj'
rlm_sql (sql): sql_set_user escaped user --> 'sawj'
radius_xlat:  'SELECT GroupName FROM usergroup WHERE UserName='sawj''
rlm_sql (sql): Reserving sql socket id: 1
rlm_sql (sql): - sql_groupcmp finished: User belongs in group ftp
rlm_sql (sql): Released sql socket id: 1
  modcall[authorize]: module "preprocess" returns ok for request 0
  modcall[authorize]: module "chap" returns noop for request 0
  modcall[authorize]: module "files" returns notfound for request 0
radius_xlat:  'sawj'
rlm_sql (sql): sql_set_user escaped user --> 'sawj'
radius_xlat:  'SELECT id, UserName, Attribute, Value, op           FROM radcheck           WHERE Username = 'sawj'           ORDER BY id'
rlm_sql (sql): Reserving sql socket id: 0
radius_xlat:  'SELECT radgroupcheck.id,radgroupcheck.GroupName,radgroupcheck.Attribute,radgroupcheck.Value,radgroupcheck.op  FROM radgroupcheck,usergroup WHERE usergroup.Username = 'sawj' AND usergroup.GroupName = radgroupcheck.GroupName ORDER BY radgroupcheck.id'
radius_xlat:  'SELECT id, UserName, Attribute, Value, op           FROM radreply           WHERE Username = 'sawj'           ORDER BY id'
radius_xlat:  'SELECT radgroupreply.id,radgroupreply.GroupName,radgroupreply.Attribute,radgroupreply.Value,radgroupreply.op  FROM radgroupreply,usergroup WHERE usergroup.Username = 'sawj' AND usergroup.GroupName = radgroupreply.GroupName ORDER BY radgroupreply.id'
rlm_sql (sql): Released sql socket id: 0
rlm_sql (sql): No matching entry in the database for request from user [sawj]
  modcall[authorize]: module "sql" returns notfound for request 0
radius_xlat:  '/var/log/radius/radauth.log'
rlm_detail: /var/log/radius/radauth.log expands to /var/log/radius/radauth.log
  modcall[authorize]: module "auth_log" returns ok for request 0
modcall: leaving group authorize (returns ok) for request 0
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Login incorrect: [sawj/\231\031\236\123\234\350]\010\241\23\44\030\251\024\021] (from client FTP port 21 cli XXXX)
  WARNING: Unprintable characters in the password. ?  Double-check the shared secret on the server and the NAS!
Delaying request 0 for 3 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---

в логах ftp

Код: Выделить всё

May 12 20:03:59 mod_radius/0.9[28368]: sending auth request packet
May 12 20:03:59 mod_radius/0.9[28368]: sending packet to xxxxxxx:1812
May 12 20:03:59 mod_radius/0.9[28368]: receiving auth response packet
May 12 20:04:05 mod_radius/0.9[28368]: packet receive succeeded
May 12 20:04:05 mod_radius/0.9[28368]: verifying packet
May 12 20:04:05 mod_radius/0.9[28368]: packet verification failed: mismatched digests

[paradox]

rlm_sql (sql): No matching entry in the database for request from user [sawj]

нет такого юзера

[SawJ]

Есть, он. Авторизация через pam проходит успешно.

Вот успешный реквест от proftpd с pam_radius:

Код: Выделить всё

Packet-Type = Access-Request
Tue May 12 20:19:30 2009
        User-Name = "sawj"
        User-Password = "XXXXXXXX"
        NAS-Identifier = "ftp"
        Service-Type = Authenticate-Only
        NAS-IP-Address = XXXXXXXX
        Client-IP-Address = XXXXXXXX
        Huntgroup-Name = "ftpext"

Вот реквест с ошибкой от proftpd + mod_radius:

Код: Выделить всё

Packet-Type = Access-Request
Tue May 12 20:03:59 2009
        User-Name = "sawj"
        User-Password = "@:+\123b\233ai\255^\034\300[4Sb"
        NAS-Identifier = "ftp"
        NAS-IP-Address = xxxxxxxxx
        NAS-Port = 21
        NAS-Port-Type = Virtual
        Calling-Station-Id = "xxxxxxx"
        Service-Type = 0x0000000100000000
        Client-IP-Address = xxxxxxxxxx
        Huntgroup-Name = "ftpext"

Поле User-Password всегда меняется, будто не правильно указан shared secret в clients.conf и мне не нравиться Service-Type... может из-за него...

[paradox]

AuthPAM off
RadiusEngine on
RadiusAuthServer xxxx asd123
RadiusAcctServer xxxxx asd123
RadiusUserInfo 103 2000 /home/ /bin/ftponly

смори еще какие есть настройки
наверное не все.....
может еще какие есть параметры