Авторизация на управляемом оборудовании через FreeRADIUS3

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 13:23:49

День добрый.
Есть идея сделать авторизацию на управляемых свичах через доменные учетки из группы DomainAdmin.
Начал делать по статье
Дошел до момента
Далее настраиваем работу протокола mschap (если требуется).
Как вообще происходит авторизация через радиус сервер? Я захожу на свитч, пишу свои доменные учетные данные (логин и пароль) оборудование обращается к AD и сравнивает данные, верно? Как мне проверить, что с той стороны (со стороны свичей) запрос вообще приходит?
Либо дайте пожалуйста ссылки на подобные темы, где так же настраивают авторизацию через фрирадиус? Заранее спасибо.
:bn:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 17:17:16

Как посмотреть, что к нашему радиус серверу хоть кто-то обращался?
:bn:

snorlov
подполковник
Сообщения: 3611
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение snorlov » 2017-09-18 17:21:08

запустите радиус в режим командной строки, а не демона, ключик -Х кажется, он все, что отрабатывает, будет плевать на консоль...

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-18 20:04:23

В режиме консоли уже не имеет смысла, логи пишут все :)
Добился прогресса, я вижу в логах что я пытаюсь авторизоваться, но выдает сообщение об неверном пароле

Код: Выделить всё

Mon Sep 18 21:25:25 2017 : Auth: (1) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [login\passwd] (from client 10.0.0.2 port 0) badpass
Подскажите что не так?

Отправлено спустя 1 час 51 минуту 19 секунд:

Код: Выделить всё

Mon Sep 18 23:17:44 2017 : Auth: (4) Login OK: [login/passwd] (from client manager port 0) goodpass
Все ок, но не авторизуюсь на самом оборудовании, в чем бяда? :)

Отправлено спустя 44 минуты 23 секунды:

Код: Выделить всё

Ready to process requests
(0) Received Access-Request Id 42 from 10.0.0.91:1026 to 10.0.0.252:1812 length 87
(0)   User-Name = "user"
(0)   User-Password = "user"
(0)   NAS-Identifier = "00-56-2B-1F-DE-46"
(0)   Message-Authenticator = 0x0cf5e08c521d855cccea74144b3742c2
(0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(0)   authorize {
(0)     [preprocess] = ok
(0)     policy ntlm_auth.authorize {
(0)       if (!control:Auth-Type && User-Password) {
(0)       if (!control:Auth-Type && User-Password)  -> TRUE
(0)       if (!control:Auth-Type && User-Password)  {
(0)         update control {
(0)           Auth-Type := ntlm_auth
(0)         } # update control = noop
(0)       } # if (!control:Auth-Type && User-Password)  = noop
(0)     } # policy ntlm_auth.authorize = noop
(0)   } # authorize = ok
(0) Found Auth-Type = ntlm_auth
(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(0)   Auth-Type ntlm_auth {
(0) ntlm_auth: Executing: /usr/local/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name} --password=%{User-Password}:
(0) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(0) ntlm_auth:    --> --username=user
(0) ntlm_auth: EXPAND --password=%{User-Password}
(0) ntlm_auth:    --> --password=user
(0) ntlm_auth: Program returned code (0) and output 'NT_STATUS_OK: Success (0x0)'
(0) ntlm_auth: Program executed successfully
(0)     [ntlm_auth] = ok
(0)   } # Auth-Type ntlm_auth = ok
(0) # Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
(0)   post-auth {
(0)     update {
(0)       No attributes updated
(0)     } # update = noop
(0)     [exec] = noop
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # post-auth = noop
(0) EXPAND goodpass
(0)    --> goodpass
(0) Login OK: [user/user] (from client manager port 0) goodpass
(0) Sent Access-Accept Id 42 from 10.0.0.252:1812 to 10.0.0.91:1026 length 0
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 42 with timestamp +7
Ready to process requests
Кто сможет пояснить, что тут написано и почему я не авторизовался хотя и логин и пас верные?
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Авторизация на управляемом оборудовании через FreeRADIUS3

Непрочитанное сообщение k0ma » 2017-09-23 18:33:49

Вообще никто не сталкивался с подобной проблемой?
:bn: