Добрый день, не получается настроить авторизацию SIP клиентов через радиус.
вероятнее всего не передается пароль, подскажите как поправить ?
дебаг радиуса:
rad_recv: Access-Request packet from host 192.168.2.137 port 32890, id=130, length=129
NAS-IP-Address = 192.168.2.137
NAS-Port = 5060
NAS-Port-Type = Async
Service-Type = Login-User
Framed-Protocol = SLIP
User-Name = "888888"
Called-Station-Id = "888888"
Calling-Station-Id = "888888"
Attr-108 = 0x5245474953544552
Attr-109 = 0x7369703a353831383838403130392e36302e3132382e313337
Message-Authenticator = 0x032fcb82ee579fb8896a5db971b225c3
# Executing section authorize from file ./sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log] expand: %{Packet-Src-IP-Address} -> 192.168.2.137
[auth_log] expand: /var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d -> /var/log/radacct/192.168.2.137/auth-detail-20121108
[auth_log] /var/log/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d expands to /var/log/radacct/192.168.2.137/auth-detail-20121108
[auth_log] expand: %t -> Thu Nov 8 18:07:39 2012
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "888888", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[sql] expand: %{User-Name} -> 888888
[sql] sql_set_user escaped user --> '888888'
rlm_sql (sql): Reserving sql socket id: 4
[sql] expand: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id -> SELECT id, username, attribute, value, op FROM radcheck WHERE username = '888888' ORDER BY id
rlm_sql_mysql: query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '888888' ORDER BY id
[sql] expand: SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority -> SELECT groupname FROM radusergroup WHERE username = '888888' ORDER BY priority
rlm_sql_mysql: query: SELECT groupname FROM radusergroup WHERE username = '888888' ORDER BY priority
[sql] expand: SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = '%{Sql-Group}' ORDER BY id -> SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = 'sip-clients' ORDER BY id
rlm_sql_mysql: query: SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = 'sip-clients' ORDER BY id
[sql] User found in group sip-clients
[sql] expand: SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = '%{Sql-Group}' ORDER BY id -> SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = 'sip-clients' ORDER BY id
rlm_sql_mysql: query: SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = 'sip-clients' ORDER BY id
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Using Post-Auth-Type REJECT
# Executing group from file ./sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> 888888
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
в таблице radcheck прописано:
id username attribute value op
1 888888 Cleartext-Password 581888 ==
2 888888 Auth-Type Local :=
3 888888 NAS-Port-Type Async ==
P.S. аккаунтинг заработал с пол-пинка, а вот с авторизацией не получается
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
SMG-1016M & freeradius
-
Evgeniy
- Сообщения: 519
- Зарегистрирован: 19 янв 2011 13:15
- Reputation: 0
- Откуда: г. Новосибирск ООО "Элтекс"
День добрый.
На работу с Radius-сервером есть 3 режима - RFC4590, RFC4590-no challenge и NetUP(для работы с этим сервером)
При RFC4590 при входящем вызове шлюз отправляет Access-request на адрес Radius сервера в надежде получить на него accept(в случае согласия), reject (в случае отказа от обслуживания) или challenge(в случае, когда необходима аутентификация по паролю и этим запросом сервер пытается получить пароль для всерки на своей стороне). Многие сервера не поддерживают этот режим, а именно посылку challenge.
Так же есть режим RFC4590-no challenge, который помогает в данном случае. Запрос Access-request будет послан только после того, как мы получим аутентификационные данные от клиента и эти же данные будут использоваться в пакете access. То есть при получении INVITE мы 401м сообщением запросим аутентификацию и будем ждать ReINVITE с запрошенными параметрами от клиента, при получении сформируем access пакет и пошлем на адрес сервера.
Проверьте какой режим в настройках профиля выставлен у Вас. Если не поможет, то нужен дамп с SMG c eth0, pbx трассировки по уровням 1 - sip,вызовы,radius + файл users с freeradius
На работу с Radius-сервером есть 3 режима - RFC4590, RFC4590-no challenge и NetUP(для работы с этим сервером)
При RFC4590 при входящем вызове шлюз отправляет Access-request на адрес Radius сервера в надежде получить на него accept(в случае согласия), reject (в случае отказа от обслуживания) или challenge(в случае, когда необходима аутентификация по паролю и этим запросом сервер пытается получить пароль для всерки на своей стороне). Многие сервера не поддерживают этот режим, а именно посылку challenge.
Так же есть режим RFC4590-no challenge, который помогает в данном случае. Запрос Access-request будет послан только после того, как мы получим аутентификационные данные от клиента и эти же данные будут использоваться в пакете access. То есть при получении INVITE мы 401м сообщением запросим аутентификацию и будем ждать ReINVITE с запрошенными параметрами от клиента, при получении сформируем access пакет и пошлем на адрес сервера.
Проверьте какой режим в настройках профиля выставлен у Вас. Если не поможет, то нужен дамп с SMG c eth0, pbx трассировки по уровням 1 - sip,вызовы,radius + файл users с freeradius
-
Evgeniy
- Сообщения: 519
- Зарегистрирован: 19 янв 2011 13:15
- Reputation: 0
- Откуда: г. Новосибирск ООО "Элтекс"
Да, можете все прислать и писать мне лично на fedevg@eltex.org
Вернуться в «Оборудование VoIP»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 21 гость