The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Как настроить freeradius 802.1x"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 09:05 
Привет Всем. Прошу помощи, так как сломал всю голову.

Необходимо реализовать авторизацию по 802.1x. Радиус на centos смотрит в AD. Всё вроде как настроено, НО, вылетает
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0x3e833be03884222b... did not finish!
WARNING: !! Please read http://wiki.freeradius.org/guide/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Удалил старые сертификаты, сделал новые по этом гайду. Теперь вылетает
Sending Access-Reject of id 52 to 10.10.1.198 port 1838
        EAP-Message = 0x04090004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.8 seconds.

Делал кто то подобное? Может что то переделать??

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 10:15 
Поднял радиус на debian. Проблема осталась.
ругается на отсутствие CA сертификата
[peap] processing EAP-TLS
  TLS Length 7
[peap] Length Included
[peap] eaptls_verify returned 11
[peap] <<< TLS 1.0 Alert [length 0002], fatal unknown_ca
TLS Alert read:fatal:unknown CA
    TLS_accept: failed in SSLv3 read client certificate A
rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
SSL: SSL_read failed inside of TLS (-1), TLS session fails.
TLS receive handshake failed during operation
[peap] eaptls_process returned 4
[peap] EAPTLS_OTHERS
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.


/etc/freeradius/certs# ls
ca.pem  dh  server.key  server.pem

куда копнуть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как настроить freeradius 802.1x"  +/
Сообщение от stalker37email (ok), 29-Июн-16, 10:44 
> /etc/freeradius/certs# ls
> ca.pem  dh  server.key  server.pem
> куда копнуть?

А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где лежит Ваш корневой сертификат радиусу?


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 10:53 
>> /etc/freeradius/certs# ls
>> ca.pem  dh  server.key  server.pem
>> куда копнуть?
> А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где
> лежит Ваш корневой сертификат радиусу?

в файле /etc/freeradius/eap.conf в секции tls

certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как настроить freeradius 802.1x"  +/
Сообщение от stalker37email (ok), 29-Июн-16, 11:20 
В логах нет ругани на чтение сертификатов (права)?
Как вариант запустить с дебагом и смотреть вдумчиво в простыню.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 11:31 
> В логах нет ругани на чтение сертификатов (права)?
> Как вариант запустить с дебагом и смотреть вдумчиво в простыню.

Пересобрал сертификаты как написано тут https://github.com/FreeRADIUS/freeradius-server/tree/v3.0.x/...

импортировал CA и client.p12 на виндовую тачку. В дебаге вот что

++[eap] returns handled
Sending Access-Challenge of id 101 to 10.10.1.198 port 1838
        EAP-Message = 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
        EAP-Message = 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
        EAP-Message = 0x2cb3b7b09e718811fca7c53348b186184a3987a60e1918d44221c1e703fc9dcf1be93e8f3670737d2e4d5a8f77c24b0ee50a66bce1b096b822a3c2cf9fd23e68e740b67bbe9517059bd880ca21665a6cda1589a64774ab4322bd2e85b77992e7a745c81516030100040e000000
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x5215bd595110a499c72ac68b414a26d0
Finished request 3.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 10.209.1.198 port 1838, id=102, length=212
        User-Name = "TFT.LOCAL\\ADMWWW"
        Framed-MTU = 1450
        EAP-Message = 0x020500061900
        Message-Authenticator = 0x00ca6fe9fcbd1d29467f80d2c6877051
        NAS-IP-Address = 10.10.1.198
        NAS-Identifier = "SW-1-DD"
        NAS-Port = 16781313
        NAS-Port-Id = "slot=1;subslot=0;port=1;vlanid=1"
        NAS-Port-Type = Ethernet
        Service-Type = Framed-User
        Framed-Protocol = PPP
        Calling-Station-Id = "12-F7-28-2A-F4-F7"
        Acct-Session-Id = "10004011051101010"
        State = 0x5215bd595110a499c72ac68b414a26d0
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log]      expand: /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629
[auth_log] /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629
[auth_log]      expand: %t -> Wed Jun 29 12:26:31 2016
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 5 length 6
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] Received TLS ACK
[peap] ACK handshake fragment handler
[peap] eaptls_verify returned 1
[peap] eaptls_process returned 13
[peap] EAPTLS_HANDLED
++[eap] returns handled
Sending Access-Challenge of id 102 to 10.209.1.198 port 1838
        EAP-Message = 0x010600061900
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x5215bd595613a499c72ac68b414a26d0
Finished request 4.
Going to the next request
Waking up in 4.8 seconds.
Cleaning up request 0 ID 98 with timestamp +62
Cleaning up request 1 ID 99 with timestamp +62
Cleaning up request 2 ID 100 with timestamp +62
Cleaning up request 3 ID 101 with timestamp +62
Cleaning up request 4 ID 102 with timestamp +62
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0x5215bd595613a499 did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как настроить freeradius 802.1x"  +/
Сообщение от stalker37email (ok), 29-Июн-16, 11:34 
[suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
[suffix] No such realm "NULL"

Вот это скорее всего и первопричина..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 11:35 
> [suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
> [suffix] No such realm "NULL"
> Вот это скорее всего и первопричина..

А куда копать?!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как настроить freeradius 802.1x"  +/
Сообщение от eRIC (ok), 29-Июн-16, 11:52 
> А куда копать?!

proxy.conf

типа:
realm XXX {
...
}


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 12:44 
>> А куда копать?!
> proxy.conf
> типа:
> realm XXX {
> ...
> }

realm LOCAL {
    type        = radius
    authhost    = LOCAL
    accthost    = LOCAL
}

Sending Access-Challenge of id 117 to 10.10.1.198 port 1838
        EAP-Message = 0x010600411900140301000101160301003080fae6d332a26ddc2b40a40274a637daafc87ad77491bb9de08490bc35eae1dc2d7bcc38438b1dc949a31c2b3f7e9cd2
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x74f8018470fe1819a9a3d7a463b1af61
Finished request 4.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 113 with timestamp +11
Cleaning up request 1 ID 114 with timestamp +11
Cleaning up request 2 ID 115 with timestamp +11
Cleaning up request 3 ID 116 with timestamp +11
Cleaning up request 4 ID 117 with timestamp +11
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0x74f8018470fe1819 did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Как настроить freeradius 802.1x"  +/
Сообщение от eRIC (ok), 29-Июн-16, 19:03 
значение MTU пробовали уменьшать?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 29-Июн-16, 22:37 
> значение MTU пробовали уменьшать?

Нет не пробовал. До какого значения стоит уменьшить?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Как настроить freeradius 802.1x"  +/
Сообщение от stalker37email (ok), 30-Июн-16, 16:57 
>> значение MTU пробовали уменьшать?
> Нет не пробовал. До какого значения стоит уменьшить?

Попробуй для эксперимента до 1000

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 01-Июл-16, 08:35 
>>> значение MTU пробовали уменьшать?
>> Нет не пробовал. До какого значения стоит уменьшить?
> Попробуй для эксперимента до 1000

Всё ровно не проходит. Есть какой то рабочий конфиг? или iso образ системы?? Что то в голову не лезит ничего...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 05-Июл-16, 09:03 
Всё настроил. Работает. Но не могу различать по группам.
Если группа имеем латинское название, то Гуд. типа DepIT == TRUE

а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Как настроить freeradius 802.1x"  +/
Сообщение от letnab (ok), 07-Июл-16, 16:43 
> Всё настроил. Работает. Но не могу различать по группам.
> Если группа имеем латинское название, то Гуд. типа DepIT == TRUE
> а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?!

Настроил...

И снова трудность... Если в AD поставить галочку требовать смену пароля при входе в систему, то радиус выдаёт

Exec-Program output: Must change password (0xc0000224)
Exec-Program-Wait: plaintext: Must change password (0xc0000224)
Exec-Program: returned: 1
[mschap] External script failed.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
MSCHAP Failure


Sending Access-Reject of id 191 to 10.10.1.198 port 1838
        EAP-Message = 0x040a0004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.7 seconds.
Хотел сделать как тут https://fossies.org/linux/misc/freeradius-server-3.0.11.tar.... Но это для версии >=3.x.x как быть??

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Как настроить freeradius 802.1x"  +/
Сообщение от Дмитрийemail (??), 20-Май-19, 13:14 
> Настроил...

И как же, поделись с людми

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру