forum.lissyara.su

Пытаюсь настроить связку freeradius+mschap+ntlm
Самба в домене -
ntlm_auth --request-nt-key --username=userboyko
password:
NT_STATUS_OK: Success (0x0)

Вначале ставил freeradius 2
Позже поставил 1.1.7
NTLM отрабатывает если судить по дебагу
Но клиент все равно продолжает пытаться авторизироваться
Во вложение полный дебаг радиуса
Куда смотреть ? Спасибо за помощь

rlm_eap: processing type mschapv2
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 13
rlm_mschap: Told to do MS-CHAPv2 for poberezhnyyy with NT-Password
radius_xlat: '--username=poberezhnyyy'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: 6e
radius_xlat: '--challenge=5630ce92ee0d11f1'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=6295a96c436a96a04938222b18ac294f2c4918c9c743bcfd'
Exec-Program output: NT_KEY: 50CF98C96F25B97CA39B2B85E4A868CC
Exec-Program-Wait: plaintext: NT_KEY: 50CF98C96F25B97CA39B2B85E4A868CC
Exec-Program: returned: 0
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 13
modcall: leaving group MS-CHAP (returns ok) for request 13
MSCHAP Success
modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
PEAP: Got tunneled Access-Challenge
modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
Sending Access-Challenge of id 94 to 10.110.0.14 port 32769
EAP-Message = 0x0109004a1900170301003fb90fbe0f1876167f9092cabed5f4653ece7929ddd1171ddf3e43d702353c62328bdda1d520d2154b74c4cfcca258b49b60ac7f52296bc0e27b15aed1165f9c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xcf79731b0a91f189d0776ceac2f09358
Finished request 13
Going to the next request
Waking up in 11 seconds...
--- Walking the entire request list ---
Cleaning up request 7 ID 88 with timestamp 4d628073

А для чего редиус что к чему ты вяжишь? Поподробней просто интересно...

авторизация вай-фай пользователей с актив директори через радиус


Авторизация юзеров с файлика users проходит нормально, через tls по сертификатам тоже норма
Может кто-то хоть что-то подскажет?

papay писал(а):авторизация вай-фай пользователей с актив директори через радиус


Авторизация юзеров с файлика users проходит нормально, через tls по сертификатам тоже норма
Может кто-то хоть что-то подскажет?

К стате умно придумано а не поделитесь статьёй? по которой делали...

http://www.google.com.ua/search?hl=ru&s ... 2&aql=&oq=

пробовал по каким угодно статьям
ошибок при проверке mschap нету, а почему нету accept'а непонятно

papay писал(а):http://www.google.com.ua/search?hl=ru&s ... 2&aql=&oq=

пробовал по каким угодно статьям
ошибок при проверке mschap нету, а почему нету accept'а непонятно

Спасибо! Надо и себе, почитать...

а почему нету accept'а непонятно

а почем это видно что нет?
в логе вообще все накучу, но замечательно

modcall[authenticate]: module "eap" returns handled for request 13
modcall: leaving group authenticate (returns handled) for request 13
Sending Access-Challenge of id 94 to 10.110.0.14 port 32769
EAP-Message = 0x0109004a1900170301003fb90fbe0f1876167f9092cabed5f4653ece7929ddd1171ddf3e43d702353c62328bdda1d520d2154b74c4cfcca258b49b60ac7f52296bc0e27b15aed1165f9c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0xcf79731b0a91f189d0776ceac2f09358
Finished request 13
Going to the next request
Waking up in 11 seconds...
--- Walking the entire request list ---

а должно быть что-то вроде

modcall[post-auth]: module "reply_log" returns ok for request 1
modcall: leaving group post-auth (returns ok) for request 1
Sending Access-Accept of id 39 to 192.17.144.2 port 3925
MS-CHAP2-Success =
0x02533d443734324339383338444541434146303141354346 334
13437363433363142464138313937314638
MS-MPPE-Recv-Key = 0xdc756f09359a7d521ae376189c6c4449
MS-MPPE-Send-Key = 0x237c89f4e9decfb9031e36f073218ba2
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
Finished request 1

на сколько я разобрался

что бы был mschap ответ
нужен chap/mschap запрос

а у вас EAP запрос, и такой же и ответ

всетаки прочитайте хотя бы одну статью до конца, а не прыгая по красивому тесту по тысячи статях

что-то в этом есть

буду пробовать
спасибо

http://wiki.freeradius.org/FreeRADIUS_A ... tion_HOWTO
согласно данной статьи используеться peap(eap)
In this file we specify the authentication method used by FreeRADIUS. We chose the PEAP (Protected EAP) method because it allows to use MSCHAPv2, a challenge/response protocol to authenticate against an Active Directory Windows Domain.
Replace the line default_eap_type = md5 with default_eap_type = peap.

пользователи прописаные в users
username1 Cleartext-Password := "user-password1", MS-CHAP-Use-NTLM-Auth := 0
нормально авторизируются

спасибо

так а что спасибо? заработало или что?

Неа )
просто появились кое-какие идеи

наткнулся на
http://freeradius.1045715.n5.nabble.com ... 80544.html
с понедельника буду что-то делать

Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/mschapv2
[eap] processing type mschapv2
[mschapv2] +- entering group MS-CHAP {...}
[mschap] Told to do MS-CHAPv2 for testuser with NT-Password
[mschap] expand: %{Stripped-User-Name} ->
[mschap] ... expanding second conditional
[mschap] WARNING: Deprecated conditional expansion ":-". See "man unlang"
for details
[mschap] expand: %{User-Name:-None} -> testuser
[mschap] expand:
--username=%{%{Stripped-User-Name}:-%{User-Name:-None}} ->
--username=testuser
[mschap] mschap2: 89
[mschap] expand: --challenge=%{mschap:Challenge:-00} ->
--challenge=5ccbe526dee4fc55
[mschap] expand: --nt-response=%{mschap:NT-Response:-00} ->
--nt-response=019bafa0e1d0c84ebe56bf49d516762e7664f303968e8eba
Exec-Program output: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program-Wait: plaintext: NT_KEY: D5C43A84A82A139F8DFE81636E0DB525
Exec-Program: returned: 0
[mschap] adding MS-CHAPv2 MPPE keys
++[mschap] returns ok
MSCHAP Success
++[eap] returns handled
} # server inner-tunnel
[peap] Got tunneled reply code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled reply RADIUS code 11
EAP-Message =
0x010800331a0307002e533d42343635413546423536464137304543314436423131464644394246413535423343413231433942
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x4ca0e8604da8f2899f00350616b37eae
[peap] Got tunneled Access-Challenge
++[eap] returns handled
Sending Access-Challenge of id 93 to 10.110.0.14 port 32769
EAP-Message =
0x0108005b19001703010050dc4fdbec56b54ae7994195fd2b6465d0556079939073fda03eabb3615c41aa39026f22d96bd3677edc78d12806c61827835ca5d4ce1a8500fc7e16b3a25d1663d3a618d17a997491638e1da2910bccfc
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x3bc73a793dcf234d3e384ba3c8f0934d
Finished request 13.
Going to the next request
Waking up in 2.0 seconds.

это походу лог с 2.1.7