Skocz do zawartości


Zdjęcie

Freeradius 1.1.6 "No EAP Start ..."


  • Musisz się zalogować, aby odpowiedzieć
3 odpowiedzi w tym wątku

#1 Dest

Dest

    Nowicjusz

  • Nowi użytkownicy
  • Pip
  • 2 Postów:

Napisany 06 listopad 2009 - 00:19

Witajcie. Freeradius jest uparty i po wielu tygodniach pracy nad różnymi wersjami przeszedłem na 1.1.6-1. Freeradius pracuje na maszynie z OpenWrt Kamikaze (testowa wersja). Są problemy z konfiguracją, dlatego potrzebuje pomocy w tej kwestii. Obojętnie jakie uwierzytelnianie kończy się błędem, aktualnie cofnęłem się do PEAP MSCHAPv2 i czy ustawie na suplikancie uwierzytelnianie PEAP MSCHAPv2, czy też (specjalnie żeby zobaczyć co się stanie) zupełnie inne np. EAP-GTC, TTLS, zawsze wyskoczy taki błąd:
KOD
Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1:1024, id=0, length=125
        Attr-1 = 0x6d617263696e
        Attr-4 = 0x7f000001
        Attr-30 = 0x303031633130353932356530
        Attr-31 = 0x303031356166353762313066
        Attr-32 = 0x303031633130353932356530
        Attr-5 = 0x00000029
        Attr-12 = 0x00000578
        Attr-61 = 0x00000013
        Attr-79 = 0x0200000b016d617263696e
        Attr-80 = 0x0749b7fc037babba0e0d9c67a14b247e
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
  modcall[authorize]: module "mschap" returns noop for request 0
  rlm_eap: EAP packet type response id 0 length 11
  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
  modcall[authorize]: module "eap" returns fail for request 0
modcall: leaving group authorize (returns fail) for request 0
There was no response configured: rejecting request 0
Server rejecting request 0.
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 0 to 127.0.0.1 port 1024
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 0 with timestamp 386d4484
Nothing to do.  Sleeping until we see a request.
Co tu jest grane ?

Paczki zainstalowane odnośnie radiusa to:
KOD
freeradius - 1.1.6-1
freeradius-democerts - 1.1.6-1
freeradius-mod-chap - 1.1.6-1
freeradius-mod-eap - 1.1.6-1
freeradius-mod-eap-md5 - 1.1.6-1
freeradius-mod-eap-mschapv2 - 1.1.6-1
freeradius-mod-eap-peap - 1.1.6-1
freeradius-mod-eap-tls - 1.1.6-1
freeradius-mod-eap-ttls - 1.1.6-1
freeradius-mod-files - 1.1.6-1
freeradius-mod-mschap - 1.1.6-1
freeradius-mod-pap - 1.1.6-1
freeradius-utils - 1.1.6-1

oczywiście również jest libopenssl - 0.9.8k-2
Być może czegoś brakuje - trudno mi stwierdzić.

Konfiguracja wygląda następująco:
clients.conf
KOD
client 127.0.0.1 {
     secret = testing123
     shortname = localhost
     nastype = other
}


users
KOD
zdzisiu  Cleartext-Password := "testing"


radiusd.conf
KOD
#ścieżki pewnie są nie istotne, lecz wprowadziłem zmianą w libdir
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run
log_file = ${logdir}/radiusd.log
libdir = /usr/lib #było /usr/lib/freeradius,  ale tam nic nie ma, są bezpośrednio w /usr/lib, zmiana nic nie wnosi do działania freeradiusa.
pidfile = ${run_dir}/radiusd.pid

max_request_time = 30
delete_blocked_requests = no
cleanup_delay = 5
max_requests = 1024
bind_address = *
port = 0
hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log_stripped_names = no
log_auth = no
log_auth_badpass = no
log_auth_goodpass = no
usercollide = no
lower_user = no
lower_pass = no
nospace_user = no
nospace_pass = no

security {
      max_attributes = 200
      reject_delay = 1
      status_server = no
}

proxy_requests  = no
$INCLUDE  ${confdir}/clients.conf
snmp  = no

thread pool {
      start_servers = 5
      max_servers = 32
      min_spare_servers = 3
      max_spare_servers = 10
      max_requests_per_server = 0
}

modules {
     $INCLUDE ${confdir}/eap.conf
      mschap {
                authtype = MS-CHAP
                use_mppe = yes
                require_encryption = no
                require_strong = no
       }
     files {
                usersfile = ${confdir}/users
      }
}

authorize {
      mschap
      eap
}

authenticate {
      Auth-Type MS-CHAP {
             mschap
        }
}


eap.conf
KOD
eap {
     default_eap_type = peap
     timer_expire = 60
     ignore_unknown_eap_types = no
     cisco_accounting_username_bug = no

     md5 {
     }

     tls {
          private_key_password = whatever
          private_key_file = ${raddbdir}/certs/cert-srv.pem
          certificate_file = ${raddbdir}/certs/cert-srv.pem
          CA_file = ${raddbdir}/certs/demoCA/cacert.pem

          dh_file = ${raddbdir}/certs/dh
          random_file = ${raddbdir}/certs/random
     }

     peap {
          default_eap_type = mschapv2
          copy_request_to_tunnel = no
          use_tunneled_reply = no
          proxy_tunneled_request_as_eap = no
     }

     mschapv2 {
     }
}


Jest coś nie tak w konfiguracji ?
  • 0

#2 fata

fata

    CCNA

  • Użytkownicy
  • PipPipPipPipPipPip
  • 1212 Postów:
  • Płeć:Mężczyzna
  • Skąd:Głogówek

Napisany 06 listopad 2009 - 12:41

spróbuj zdzisiu User-Password := "test123"

aczkolwiek nie jestem pewien. ja tam mam radiusa na win 2k8
  • 0

#3 Dest

Dest

    Nowicjusz

  • Nowi użytkownicy
  • Pip
  • 2 Postów:

Napisany 09 listopad 2009 - 13:46

Kierowałem się podpowiedziami z pliku users, dlatego zastosowałem Cleartext-Password, zmiana na User-Password nic nie zmienia. Ciągle to samo. Już myślałem o certyfikatach - co będzie się działo jak certyfikat po stronie suplikanta będzie zły? Ponadto to przecież w PEAP MSCHAPv2 może być tylko certyfikat po stronie serwera RADIUS, więc może to nie certyfikaty. Inna sprawa to zastosowany suplikant - Fata co byś mógł poleić, ja używam wpa_supplicant pod Windowsa z tąd http://w1.fi/wpa_supplicant/ .
  • 0

#4 fata

fata

    CCNA

  • Użytkownicy
  • PipPipPipPipPipPip
  • 1212 Postów:
  • Płeć:Mężczyzna
  • Skąd:Głogówek

Napisany 09 listopad 2009 - 15:11

osobiście korzystam z wpa_supplicanta, natomiast generalnie 99% userów u mnie korzysta po prostu z windowsowego (tylko taką konfigurację mam wrzuconą na stronę).

przy ms-chap musisz mieć cert na serwerze, ale musi też mieć zaintalowany go klient. wrzucasz cert do magazynu: głowne zaufane urzędy certfikacji. w przypadki braku u klienta tego certa autoryzacja się nie powiedzie
  • 0