О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

freeradius+ldap [решено]

WEP-12ac, WOP-12ac, WOP-12ac-LR, WB-1P-LR, SoftWLC
igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

freeradius+ldap [решено]

Сообщение igroykt » 13 дек 2016 19:41

Здравствуйте!
Есть ли возможность radius аутентификации с использованием ldap?
В документации и в базе знаний ничего по теме не нашлось.
Последний раз редактировалось igroykt 04 фев 2017 14:58, всего редактировалось 1 раз.

Olesja
Сообщения: 106
Зарегистрирован: 13 авг 2015 12:40
Reputation: 0

Re: freeradius+ldap

Сообщение Olesja » 13 дек 2016 19:51

Добрый день!
Да, самый простой вариант - это настроить проксирование запросов на авторизацию с нашего Radius сервера (входящего в состав SoftWLC) на Ваш, у которого уже настроено взаимодействие с LDAP.
Либо настроить работу точек доступа напрямую с Вашим Radius сервером.
Доронина Олеся / Элтекс / Сервисный центр Wi-Fi / techsupp@eltex.nsk.ru

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 02 фев 2017 16:42

А где настраивать домены в ems gui? В мануале видно по скринам что он находится в пункте администрирование но в моем случаем его там нет.
Или чтобы подключить к своему домену не обязательно добавлять его в ems (сойдет и дефолтный root)?
Version information:
GUI: 3.6.0.744 / 07-11-2016 12:52:21
Server: 3.6.0.744 / 07-11-2016 12:52:21

Olesja
Сообщения: 106
Зарегистрирован: 13 авг 2015 12:40
Reputation: 0

Re: freeradius+ldap

Сообщение Olesja » 02 фев 2017 16:46

Добрый день!
Необходимо в меню Администрирование/настройка сервера/системные модули/system - Тип доступа к устройствам системы сменить на By_Domain, после чего перезапустить EMS процесс.
Тогда появится меню "домены".
Доронина Олеся / Элтекс / Сервисный центр Wi-Fi / techsupp@eltex.nsk.ru

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 02 фев 2017 16:57

Olesja писал(а):Добрый день!
Необходимо в меню Администрирование/настройка сервера/системные модули/system - Тип доступа к устройствам системы сменить на By_Domain, после чего перезапустить EMS процесс.
Тогда появится меню "домены".


Спасибо! Появилось (:

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 03 фев 2017 12:55

Olesja писал(а):Добрый день!
Да, самый простой вариант - это настроить проксирование запросов на авторизацию с нашего Radius сервера (входящего в состав SoftWLC) на Ваш, у которого уже настроено взаимодействие с LDAP.
Либо настроить работу точек доступа напрямую с Вашим Radius сервером.


Здравствуйте!
Что то никак не получается.
На стороне прокси:
proxy.conf:
home_server 10.14.9.11 {
ipaddr = 10.14.9.11
port = 1812
type = "auth"
secret = "testing123"
response_window = 20
max_outstanding = 65536
require_message_authenticator = yes
zombie_period = 40
status_check = "status-server"
ping_interval = 30
check_interval = 30
num_answers_to_alive = 3
num_pings_to_alive = 3
revive_interval = 120
status_check_timeout = 4
coa {
irt = 2
mrt = 16
mrc = 5
mrd = 30
}
}

clients.conf:
client 10.14.9.11 {
secret = testing123
shortname = radius-db
}

client 10.14.9.20 {
secret = testing123
shortname = igro-pc #пк с которого идет проверка прокси
}


на стороне базы:
client.conf:
client 10.14.9.15 {
secret = testing123
shortname = radius-proxy
}

client 10.14.9.20 {
secret = testing123
shrotname = igro-pc
}

Выполняю проверку:
radtest -t mschap administrator xxxxxxxx 10.14.9.15 1812 testing123

Получаю ответ на прокси:
rad_recv: Access-Request packet from host 10.14.9.20 port 35317, id=246, length=139
User-Name = "administrator"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0xf02380405b632c1ad6574a6a74f4b9ef
MS-CHAP-Challenge = 0x741068cd0a8b16b3
MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000668b01293ebe9636ab3e86d4e3c7943a14311f14a129c2f2
# Executing section authorize from file /etc/freeradius-domain//sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[checkSsidLocked] expand: %{Called-Station-Id} ->
[checkSsidLocked] expand: %{Eltex-Domain} ->
ERROR 1045 (28000): Access denied for user 'root'@'127.0.0.1' (using password: YES)
Exec-Program output:
Exec-Program: returned: 1
++[checkSsidLocked] returns reject
Invalid user: [administrator/<no User-Password attribute>] (from client igro-pc port 1812)
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius-domain//sites-enabled/default
+- entering group REJECT {...}
[sql] expand: %{User-Name} -> administrator
[sql] sql_set_user escaped user --> 'administrator'
[sql] expand: %{User-Password} ->
[sql] ... expanding second conditional
[sql] expand: %{Chap-Password} ->
[sql] expand: INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( '%{User-Name}', REVERSE('%{Eltex-Domain}'), '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S') -> INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( 'administrator', REVERSE(''), '', 'Access-Reject', '2017-02-03 14:43:55')
rlm_sql (sql) in sql_postauth: query is INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( 'administrator', REVERSE(''), '', 'Access-Reject', '2017-02-03 14:43:55')
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql (sql): Released sql socket id: 3
++[sql] returns ok
expand: %{Calling-Station-Id} ->
expand: %{Called-Station-Id} ->
++[reply] returns ok
[attr_filter.access_reject] expand: %{User-Name} -> administrator
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 10 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 10
Sending Access-Reject of id 246 to 10.14.9.20 port 35317
Calling-Station-Id = ""
Called-Station-Id = ""
Waking up in 4.9 seconds.

На стороне базы тишина. Ощущение что вместо проксирования запросов пытается записать в sql.
radius.conf:
root@eltex-wlc:/etc/freeradius-domain# cat radiusd.conf | grep -v '#'|sed '/^$/d'
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log/freeradius
raddbdir = /etc/freeradius-domain
radacctdir = ${logdir}/radacct
name = freeradius-domain
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
db_dir = ${raddbdir}
libdir = /usr/lib/freeradius
pidfile = ${run_dir}/${name}.pid
user = freerad
group = freerad
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
listen {
type = auth
ipaddr = *
port = 0
}
listen {
ipaddr = *
port = 0
type = acct
}
hostname_lookups = no
allow_core_dumps = no
regular_expressions = yes
extended_expressions = yes
log {
destination = syslog
file = ${logdir}/radius.log
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = yes
}
checkrad = ${sbindir}/checkrad
security {
max_attributes = 200
reject_delay = 1
status_server = yes
}
proxy_requests = yes
$INCLUDE proxy.conf
$INCLUDE clients.conf
thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}
modules {
$INCLUDE ${confdir}/modules/
$INCLUDE eap.conf
$INCLUDE sql.conf
}
instantiate {
exec
expr
expiration
logintime
}
$INCLUDE policy.conf
$INCLUDE sites-enabled/

Olesja
Сообщения: 106
Зарегистрирован: 13 авг 2015 12:40
Reputation: 0

Re: freeradius+ldap

Сообщение Olesja » 03 фев 2017 19:19

В файле /etc/freeradius-domain/users раскомментируйте вот эту строку:
DEFAULT Eltex-Domain =~ "enterprise\\.root", Proxy-To-Realm := 'enterprise'
Вместо "enterprise\\.root" укажите домен, который указан в настройках SSID, если выбрано использование Global Radius, то укажите домен, установленный на вкладке Global Radius.

А пароль от БД отличается от root?
Доронина Олеся / Элтекс / Сервисный центр Wi-Fi / techsupp@eltex.nsk.ru

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 03 фев 2017 20:49

Olesja писал(а):В файле /etc/freeradius-domain/users раскомментируйте вот эту строку:
DEFAULT Eltex-Domain =~ "enterprise\\.root", Proxy-To-Realm := 'enterprise'
Вместо "enterprise\\.root" укажите домен, который указан в настройках SSID, если выбрано использование Global Radius, то укажите домен, установленный на вкладке Global Radius.

А пароль от БД отличается от root?

Хорошо завтра попробую.
Да пароль отличался. Сегодня только заметил когда копался в скриптах в директории sql что ожидается пароль root. Поменял пароль root'а на root но все равно выдает ошибку что не может подключиться на локалхост. Пока не нашел какой скрипт/конфигурация провоцирует ошибку подключения.

Olesja
Сообщения: 106
Зарегистрирован: 13 авг 2015 12:40
Reputation: 0

Re: freeradius+ldap

Сообщение Olesja » 04 фев 2017 11:19

В двух скриптах надо поменять логин и пароль от базы данных на те, которые Вы установили.
Пути к скриптам:
/etc/freeradius-domain/sql/mysql/traffic.sh
/etc/freeradius-domain/sql/mysql/checkSsidLocked.sh
там в строке mysql -uroot -proot поменяйте на текущие:
mysql -u<Ваш логин> -p<Ваш пароль>
Доронина Олеся / Элтекс / Сервисный центр Wi-Fi / techsupp@eltex.nsk.ru

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 04 фев 2017 11:45

Olesja писал(а):В двух скриптах надо поменять логин и пароль от базы данных на те, которые Вы установили.
Пути к скриптам:
/etc/freeradius-domain/sql/mysql/traffic.sh
/etc/freeradius-domain/sql/mysql/checkSsidLocked.sh
там в строке mysql -uroot -proot поменяйте на текущие:
mysql -u<Ваш логин> -p<Ваш пароль>

ошибка с подключением к mysql исчезла после того как подправил данные подключения к базе radius в modules/cui.
а нет соврал. осталось. вот теперь исчезло когда закомментировал $include/sites-enabled.
с проксированием так и ничего не вышло.
на стороне базы все так же тишина.
на стороне прокси:
... adding new socket proxy address * port 42718
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on proxy address * port 1814
Ready to process requests.
rad_recv: Access-Request packet from host 10.14.9.20 port 53291, id=112, length=83
User-Name = "administrator"
User-Password = "xxxxxxxxx"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1814
Message-Authenticator = 0x55e02ddbc4bd5c6577368522cedaf84f
WARNING: Empty authorize section. Using default return values.
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Login incorrect: [administrator/xxxxxxx] (from client igro-pc port 1814)
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 112 to 10.14.9.20 port 53291
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 10.14.9.20 port 48069, id=216, length=83
User-Name = "administrator"
User-Password = "xxxxxx"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x3663e60d51b538a1f1c455341c7ec862
WARNING: Empty authorize section. Using default return values.
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Login incorrect: [administrator/xxxxxx] (from client igro-pc port 1812)
Delaying reject of request 1 for 1 seconds
Going to the next request
Waking up in 0.8 seconds.
Cleaning up request 0 ID 112 with timestamp +3
Waking up in 0.1 seconds.
Sending delayed reject for request 1
Sending Access-Reject of id 216 to 10.14.9.20 port 48069
Waking up in 4.9 seconds.

видимо ошибка в конфигурации.
users:
DEFAULT Eltex-Domain =~ "TEST\\.root", Proxy-To-Realm := 'TEST'

В global radius стоит domain: TEST.root
proxy.conf:
proxy server {
default_fallback = no
}

home_server radius_database {
type = auth
ipaddr = 10.14.9.11
port = 1812
secret = testing123
}

home_server_pool TEST_pool {
type = fail-over
home_server = radius_database
}

realm TEST {
auth_pool = TEST_pool
}

realm LOCAL {
}

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 04 фев 2017 12:45

так. обнаружилось что пароль почему то обратно вернулся на тот который был указан при установке (нет больше доверия mysqladmin).
последовал вашему совету и поменял пароль в указанных файлах. теперь вроде норм.
$include sites-enabled обратно вернул поскольку оказывается там описаны механизму аутентификации.
проксирование все еще не работает.
rad_recv: Access-Request packet from host 10.14.9.20 port 38671, id=111, length=139
User-Name = "administrator"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x4db47dab9c49f244a0cd1a873e8415ca
MS-CHAP-Challenge = 0x64af79d51e234c67
MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000d3868eabbc150f0289b14874b064383b9e6126728fab67f8
# Executing section authorize from file /etc/freeradius-domain/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[checkSsidLocked] expand: %{Called-Station-Id} ->
[checkSsidLocked] expand: %{Eltex-Domain} ->
Exec-Program output:
Exec-Program: returned: 0
++[checkSsidLocked] returns ok
[checkVendor] expand: %{Calling-Station-Id} ->
Exec-Program output: Eltex-Vendor-Group = "ubi"
Exec-Program-Wait: value-pairs: Eltex-Vendor-Group = "ubi"
Exec-Program: returned: 0
++[checkVendor] returns ok
expand: %l -> 1486188861
++[request] returns ok
++[chap] returns noop
[mschap] Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
++[mschap] returns ok
++[digest] returns noop
++? if (Eltex-Tls-Enabled==1)
(Attribute Eltex-Tls-Enabled was not found)
? Evaluating (Eltex-Tls-Enabled==1) -> FALSE
++? if (Eltex-Tls-Enabled==1) -> FALSE
++? elsif (Eltex-Vendor-Group=="ubi")
? Evaluating (Eltex-Vendor-Group=="ubi") -> TRUE
++? elsif (Eltex-Vendor-Group=="ubi") -> TRUE
++- entering elsif (Eltex-Vendor-Group=="ubi") {...}
[eapubi] No EAP-Message, not doing EAP
+++[eapubi] returns noop
++- elsif (Eltex-Vendor-Group=="ubi") returns noop
++ ... skipping else for request 1: Preceding "if" was taken
[files] expand: %{Eltex-Domain} ->
++[files] returns noop
++[request] returns noop
++? if ("%{control:Proxy-To-Realm}")
expand: %{control:Proxy-To-Realm} ->
? Evaluating ("%{control:Proxy-To-Realm}") -> FALSE
++? if ("%{control:Proxy-To-Realm}") -> FALSE

да и кстате ничего что в softwlc версия radius 2.x а тот на который пытаюсь проксировать версии 3.x?

Olesja
Сообщения: 106
Зарегистрирован: 13 авг 2015 12:40
Reputation: 0

Re: freeradius+ldap

Сообщение Olesja » 04 фев 2017 14:12

Для настройки проксирования достаточно было сделать следующее:

В файле /etc/freeradius-domain/proxy.conf задать адрес Вашего радиуса:

home_server enterprise_server {
type = auth
ipaddr = 192.168.10.10
port = 1812
secret = testing123
}

В файле /etc/freeradius-domain/users раскомментировать вот эту строку:
DEFAULT Eltex-Domain =~ "enterprise\\.root", Proxy-To-Realm := 'enterprise'

Вместо "enterprise\\.root" указать домен, который указан в настройках SSID, если выбрано использование Global Radius, то указать домен, установленный на вкладке Global Radius.
Реалмы лучше оставить по дефолту. Например, домен TEST.root:
DEFAULT Eltex-Domain =~ "TEST.root", Proxy-To-Realm := 'enterprise'
На вашем радиусе надо задать, что наш радиус будет клиентом, по примеру:

client 192.168.10.20 {
secret = testing123
shortname = main-radius-server
}

и рестартовать сервис.

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap

Сообщение igroykt » 04 фев 2017 14:26

Olesja писал(а):Для настройки проксирования достаточно было сделать следующее:

В файле /etc/freeradius-domain/proxy.conf задать адрес Вашего радиуса:

home_server enterprise_server {
type = auth
ipaddr = 192.168.10.10
port = 1812
secret = testing123
}

В файле /etc/freeradius-domain/users раскомментировать вот эту строку:
DEFAULT Eltex-Domain =~ "enterprise\\.root", Proxy-To-Realm := 'enterprise'

Вместо "enterprise\\.root" указать домен, который указан в настройках SSID, если выбрано использование Global Radius, то указать домен, установленный на вкладке Global Radius.
Реалмы лучше оставить по дефолту. Например, домен TEST.root:
DEFAULT Eltex-Domain =~ "TEST.root", Proxy-To-Realm := 'enterprise'
На вашем радиусе надо задать, что наш радиус будет клиентом, по примеру:

client 192.168.10.20 {
secret = testing123
shortname = main-radius-server
}

и рестартовать сервис.

Видимо какой то атрибут приходит пустым (если верить комментариям). заработало таким вот образом:
# proxy to enterprise if attribute is empty
# proxy to enterprise
DEFAULT Eltex-Domain =* "TEST\\.root", Proxy-To-Realm := 'DEFAULT'

На прокси вижу:
rad_recv: Access-Request packet from host 10.14.9.20 port 43655, id=204, length=139
User-Name = "administrator"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1814
Message-Authenticator = 0x1881ee269a88bbabf57136b0de5bea79
MS-CHAP-Challenge = 0xd47b1635b12444f6
MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000002099f84674be1009cfe73b980542c8a499a1a64c34fdb44
# Executing section authorize from file /etc/freeradius-domain/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[checkSsidLocked] expand: %{Called-Station-Id} ->
[checkSsidLocked] expand: %{Eltex-Domain} ->
Exec-Program output:
Exec-Program: returned: 0
++[checkSsidLocked] returns ok
[checkVendor] expand: %{Calling-Station-Id} ->
Exec-Program output: Eltex-Vendor-Group = "ubi"
Exec-Program-Wait: value-pairs: Eltex-Vendor-Group = "ubi"
Exec-Program: returned: 0
++[checkVendor] returns ok
expand: %l -> 1486193040
++[request] returns ok
++[chap] returns noop
[mschap] Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
++[mschap] returns ok
++[digest] returns noop
++? if (Eltex-Tls-Enabled==1)
(Attribute Eltex-Tls-Enabled was not found)
? Evaluating (Eltex-Tls-Enabled==1) -> FALSE
++? if (Eltex-Tls-Enabled==1) -> FALSE
++? elsif (Eltex-Vendor-Group=="ubi")
? Evaluating (Eltex-Vendor-Group=="ubi") -> TRUE
++? elsif (Eltex-Vendor-Group=="ubi") -> TRUE
++- entering elsif (Eltex-Vendor-Group=="ubi") {...}
[eapubi] No EAP-Message, not doing EAP
+++[eapubi] returns noop
++- elsif (Eltex-Vendor-Group=="ubi") returns noop
++ ... skipping else for request 0: Preceding "if" was taken
[files] users: Matched entry DEFAULT at line 212
++[files] returns ok
++[request] returns ok
++? if ("%{control:Proxy-To-Realm}")
expand: %{control:Proxy-To-Realm} -> DEFAULT
? Evaluating ("%{control:Proxy-To-Realm}") -> TRUE
++? if ("%{control:Proxy-To-Realm}") -> TRUE
++- entering if ("%{control:Proxy-To-Realm}") {...}
+++[handled] returns handled
++- if ("%{control:Proxy-To-Realm}") returns handled
WARNING: Empty pre-proxy section. Using default return values.
Sending Access-Request of id 18 to 10.14.9.11 port 1812
User-Name = "administrator"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1814
Message-Authenticator = 0x00000000000000000000000000000000
MS-CHAP-Challenge = 0xd47b1635b12444f6
MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000002099f84674be1009cfe73b980542c8a499a1a64c34fdb44
Eltex-Domain = "root"
Proxy-State = 0x323034
Proxying request 0 to home server 10.14.9.11 port 1812
Sending Access-Request of id 18 to 10.14.9.11 port 1812
User-Name = "administrator"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1814
Message-Authenticator = 0x00000000000000000000000000000000
MS-CHAP-Challenge = 0xd47b1635b12444f6
MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000002099f84674be1009cfe73b980542c8a499a1a64c34fdb44
Eltex-Domain = "root"
Proxy-State = 0x323034
Going to the next request
Waking up in 0.9 seconds.
rad_recv: Access-Accept packet from host 10.14.9.11 port 1812, id=18, length=89
MS-CHAP-MPPE-Keys = 0x0000000000000000cb66b1d30fa1bd80c4a7f2e0b4df69490000000000000000
MS-MPPE-Encryption-Policy = 0x00000001
MS-MPPE-Encryption-Types = 0x00000006
Proxy-State = 0x323034
# Executing section post-proxy from file /etc/freeradius-domain/sites-enabled/default
+- entering group post-proxy {...}
[eap] No pre-existing handler found
++[eap] returns noop
Found Auth-Type = MSCHAP
Found Auth-Type = Accept
Warning: Found 2 auth-types on request for user 'administrator'
Auth-Type = Accept, accepting the user
Login OK: [administrator/<via Auth-Type = mschap>] (from client igro-pc port 1814)
# Executing section post-auth from file /etc/freeradius-domain/sites-enabled/default
+- entering group post-auth {...}
++[request] returns noop
[sql] expand: %{User-Name} -> administrator
[sql] sql_set_user escaped user --> 'administrator'
[sql] expand: %{User-Password} ->
[sql] ... expanding second conditional
[sql] expand: %{Chap-Password} ->
[sql] expand: INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( '%{User-Name}', REVERSE('%{Eltex-Domain}'), '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S') -> INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( 'administrator', REVERSE('root'), '', 'Access-Accept', '2017-02-04 16:24:00')
rlm_sql (sql) in sql_postauth: query is INSERT INTO radpostauth (username, domain, pass, reply, authdate) VALUES ( 'administrator', REVERSE('root'), '', 'Access-Accept', '2017-02-04 16:24:00')
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql (sql): Released sql socket id: 3
++[sql] returns ok
++[exec] returns noop
expand: %{Calling-Station-Id} ->
expand: %{Called-Station-Id} ->
expand: %{check:Simultaneous-Use} ->
++[reply] returns noop
Sending Access-Accept of id 204 to 10.14.9.20 port 43655
MS-CHAP-MPPE-Keys = 0x0000000000000000cb66b1d30fa1bd80c4a7f2e0b4df69490000000000000000
MS-MPPE-Encryption-Policy = 0x00000001
MS-MPPE-Encryption-Types = 0x00000006
Calling-Station-Id = ""
Called-Station-Id = ""
Eltex-Simultaneous-Use = 0
Finished request 0.

на стороне базы:
(2) Received Access-Request packet from host 10.14.9.15 port 1814, id=18, length=156
(2) User-Name = 'administrator'
(2) NAS-IP-Address = 127.0.1.1
(2) NAS-Port = 1814
(2) Message-Authenticator = 0x5409d8d95d5f169a6fa869d284410e6b
(2) MS-CHAP-Challenge = 0xd47b1635b12444f6
(2) MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000002099f84674be1009cfe73b980542c8a499a1a64c34fdb44
(2) Attr-26.35265.13 = 0x726f6f74
(2) Proxy-State = 0x323034
(2) # Executing section authorize from file /etc/raddb/sites-enabled/default
(2) authorize {
(2) filter_username filter_username {
(2) if (!&User-Name)
(2) if (!&User-Name) -> FALSE
(2) if (&User-Name =~ / /)
(2) if (&User-Name =~ / /) -> FALSE
(2) if (&User-Name =~ /@.*@/ )
(2) if (&User-Name =~ /@.*@/ ) -> FALSE
(2) if (&User-Name =~ /\\.\\./ )
(2) if (&User-Name =~ /\\.\\./ ) -> FALSE
(2) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\\.(.+)$/))
(2) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\\.(.+)$/)) -> FALSE
(2) if (&User-Name =~ /\\.$/)
(2) if (&User-Name =~ /\\.$/) -> FALSE
(2) if (&User-Name =~ /@\\./)
(2) if (&User-Name =~ /@\\./) -> FALSE
(2) } # filter_username filter_username = notfound
(2) [preprocess] = ok
(2) [chap] = noop
(2) mschap : Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
(2) [mschap] = ok
(2) [digest] = noop
(2) suffix : Checking for suffix after "@"
(2) suffix : No '@' in User-Name = "administrator", looking up realm NULL
(2) suffix : No such realm "NULL"
(2) [suffix] = noop
(2) eap : No EAP-Message, not doing EAP
(2) [eap] = noop
(2) [files] = noop
(2) [expiration] = noop
(2) [logintime] = noop
(2) WARNING: pap : No "known good" password found for the user. Not setting Auth-Type
(2) WARNING: pap : Authentication will fail unless a "known good" password is available
(2) [pap] = noop
(2) } # authorize = ok
(2) Found Auth-Type = MSCHAP
(2) # Executing group from file /etc/raddb/sites-enabled/default
(2) Auth-Type MS-CHAP {
(2) mschap : Client is using MS-CHAPv1 with NT-Password
Executing: /bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}:
(2) mschap : EXPAND --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}}
(2) mschap : --> --username=administrator
(2) mschap : mschap1: d4
(2) mschap : EXPAND --challenge=%{%{mschap:Challenge}:-00}
(2) mschap : --> --challenge=d47b1635b12444f6
(2) mschap : EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(2) mschap : --> --nt-response=02099f84674be1009cfe73b980542c8a499a1a64c34fdb44
Program returned code (0) and output 'NT_KEY: CB66B1D30FA1BD80C4A7F2E0B4DF6949'
(2) mschap : adding MS-CHAPv1 MPPE keys
(2) [mschap] = ok
(2) } # Auth-Type MS-CHAP = ok
(2) # Executing section post-auth from file /etc/raddb/sites-enabled/default
(2) post-auth {
(2) [exec] = noop
(2) remove_reply_message_if_eap remove_reply_message_if_eap {
(2) if (&reply:EAP-Message && &reply:Reply-Message)
(2) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(2) else else {
(2) [noop] = noop
(2) } # else else = noop
(2) } # remove_reply_message_if_eap remove_reply_message_if_eap = noop
(2) } # post-auth = noop
(2) Sending Access-Accept packet to host 10.14.9.15 port 1814, id=18, length=0
(2) MS-CHAP-MPPE-Keys = 0x0000000000000000cb66b1d30fa1bd80c4a7f2e0b4df69490000000000000000
(2) MS-MPPE-Encryption-Policy = Encryption-Allowed
(2) MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(2) Proxy-State = 0x323034
Sending Access-Accept Id 18 from 10.14.9.11:1812 to 10.14.9.15:1814
MS-CHAP-MPPE-Keys = 0x0000000000000000cb66b1d30fa1bd80c4a7f2e0b4df69490000000000000000
MS-MPPE-Encryption-Policy = Encryption-Allowed
MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
Proxy-State = 0x323034
(2) Finished request


proxy.conf:
realm DEFAULT {
type = radius
authhost = 10.14.9.11:1812
accthost = 10.14.9.11:1813
secret = testing123
nostrip
}

igroykt
Сообщения: 30
Зарегистрирован: 14 ноя 2016 22:26
Reputation: 0

Re: freeradius+ldap [решено]

Сообщение igroykt » 19 мар 2017 11:47

Убрал прокси и настроил радиус на контроллере чтоб сам достукивался до active directory.
radius.conf:
proxy_requests = no
#$INCLUDE proxy.conf

users:
#DEFAULT Eltex-Domain =* "DOMAIN\\.root", Proxy-To-Realm := 'DOMAIN'

sites-enabled/default:
блок authenticate:
eap
# Allow EAP authentication.
#Auth-Type eap {
# eap
#}
#Auth-Type eaptls {
# eaptls
#}
#Auth-Type eapubi {
# eapubi
#}
ntlm_auth

modules/mschap:
with_ntdomain_hack = yes
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"

недостающий modules/eap:
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
ecdh_curve = "prime256v1"
cache {
enable = yes
lifetime = 24
max_entries = 255
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
ttls {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}

дополнительные пакеты:
apt-get install samba winbind krb5-config

smb.conf:
[global]
workgroup = DOMAIN
security = ADS
realm = DC.DOMAIN.COM
encrypt passwords = yes
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
template shell = /bin/bash
winbind refresh tickets = yes

krb5.conf:
[libdefaults]
default_realm = DC.DOMAIN.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
DOMAIN = {
kdc = dc
admin_server = dc
default_domain = DC.DOMAIN.COM
}

[domain_realm]
.dc.domain.com = DC.DOMAIN.COM
dc.domain.com = DC.DOMAIN.COM

nsswitch.conf:
passwd: files winbind
group: files winbind
shadow: files winbind

hosts: files dns
networks: files

protocols: files winbind
services: files winbind
ethers: db files
rpc: db files

netgroup: files winbind

hosts:
x.x.x.x domain.com domain dc.domain.com dc

reboot
net ads join -U administrator
group:
winbindd_priv:x:125:freerad,authsrv

chown root:freerad /var/lib/samba/winbind_privileged -R
service freeradius-domain restart
radtest -t mschap administrator password localhost 0 testing123


Вернуться в «Оборудование беспроводного доступа»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 22 гостя