Oprogramowanie forum zostało zaktualizowane. Zmienił się sposób logowania: jako nazwy użytkownika należy użyć tzw. "nazwy wyświetlanej" jeśli była różna od poprzedniego loginu lub adresu email.

Zarchiwizowany

Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.

Dest

Freeradius 1.1.6 "No EAP Start ..."

4 posty w tym temacie

Witajcie. Freeradius jest uparty i po wielu tygodniach pracy nad różnymi wersjami przeszedłem na 1.1.6-1. Freeradius pracuje na maszynie z OpenWrt Kamikaze (testowa wersja). Są problemy z konfiguracją, dlatego potrzebuje pomocy w tej kwestii. Obojętnie jakie uwierzytelnianie kończy się błędem, aktualnie cofnęłem się do PEAP MSCHAPv2 i czy ustawie na suplikancie uwierzytelnianie PEAP MSCHAPv2, czy też (specjalnie żeby zobaczyć co się stanie) zupełnie inne np. EAP-GTC, TTLS, zawsze wyskoczy taki błąd:

Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1:1024, id=0, length=125
        Attr-1 = 0x6d617263696e
        Attr-4 = 0x7f000001
        Attr-30 = 0x303031633130353932356530
        Attr-31 = 0x303031356166353762313066
        Attr-32 = 0x303031633130353932356530
        Attr-5 = 0x00000029
        Attr-12 = 0x00000578
        Attr-61 = 0x00000013
        Attr-79 = 0x0200000b016d617263696e
        Attr-80 = 0x0749b7fc037babba0e0d9c67a14b247e
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
  modcall[authorize]: module "mschap" returns noop for request 0
  rlm_eap: EAP packet type response id 0 length 11
  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
  modcall[authorize]: module "eap" returns fail for request 0
modcall: leaving group authorize (returns fail) for request 0
There was no response configured: rejecting request 0
Server rejecting request 0.
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 0 to 127.0.0.1 port 1024
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 0 with timestamp 386d4484
Nothing to do.  Sleeping until we see a request.

Co tu jest grane ?

 

Paczki zainstalowane odnośnie radiusa to:

freeradius - 1.1.6-1
freeradius-democerts - 1.1.6-1
freeradius-mod-chap - 1.1.6-1
freeradius-mod-eap - 1.1.6-1
freeradius-mod-eap-md5 - 1.1.6-1
freeradius-mod-eap-mschapv2 - 1.1.6-1
freeradius-mod-eap-peap - 1.1.6-1
freeradius-mod-eap-tls - 1.1.6-1
freeradius-mod-eap-ttls - 1.1.6-1
freeradius-mod-files - 1.1.6-1
freeradius-mod-mschap - 1.1.6-1
freeradius-mod-pap - 1.1.6-1
freeradius-utils - 1.1.6-1

oczywiście również jest libopenssl - 0.9.8k-2

Być może czegoś brakuje - trudno mi stwierdzić.

 

Konfiguracja wygląda następująco:

clients.conf

client 127.0.0.1 {
     secret = testing123
     shortname = localhost
     nastype = other
}

 

users

zdzisiu  Cleartext-Password := "testing"

 

radiusd.conf

#ścieżki pewnie są nie istotne, lecz wprowadziłem zmianą w libdir
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run
log_file = ${logdir}/radiusd.log
libdir = /usr/lib #było /usr/lib/freeradius,  ale tam nic nie ma, są bezpośrednio w /usr/lib, zmiana nic nie wnosi do działania freeradiusa.
pidfile = ${run_dir}/radiusd.pid

max_request_time = 30
delete_blocked_requests = no
cleanup_delay = 5
max_requests = 1024
bind_address = *
port = 0
hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log_stripped_names = no
log_auth = no
log_auth_badpass = no
log_auth_goodpass = no
usercollide = no
lower_user = no
lower_pass = no
nospace_user = no
nospace_pass = no

security {
      max_attributes = 200
      reject_delay = 1
      status_server = no
}

proxy_requests  = no
$INCLUDE  ${confdir}/clients.conf
snmp  = no

thread pool {
      start_servers = 5
      max_servers = 32
      min_spare_servers = 3
      max_spare_servers = 10
      max_requests_per_server = 0
}

modules {
     $INCLUDE ${confdir}/eap.conf
      mschap {
                authtype = MS-CHAP
                use_mppe = yes
                require_encryption = no
                require_strong = no
       }
     files {
                usersfile = ${confdir}/users
      }
}

authorize {
      mschap
      eap
}

authenticate {
      Auth-Type MS-CHAP {
             mschap
        }
}

 

eap.conf

eap {
     default_eap_type = peap
     timer_expire = 60
     ignore_unknown_eap_types = no
     cisco_accounting_username_bug = no

     md5 {
     }

     tls {
          private_key_password = whatever
          private_key_file = ${raddbdir}/certs/cert-srv.pem
          certificate_file = ${raddbdir}/certs/cert-srv.pem
          CA_file = ${raddbdir}/certs/demoCA/cacert.pem

          dh_file = ${raddbdir}/certs/dh
          random_file = ${raddbdir}/certs/random
     }

     peap {
          default_eap_type = mschapv2
          copy_request_to_tunnel = no
          use_tunneled_reply = no
          proxy_tunneled_request_as_eap = no
     }

     mschapv2 {
     }
}

 

Jest coś nie tak w konfiguracji ?

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

spróbuj zdzisiu User-Password := "test123"

 

aczkolwiek nie jestem pewien. ja tam mam radiusa na win 2k8

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kierowałem się podpowiedziami z pliku users, dlatego zastosowałem Cleartext-Password, zmiana na User-Password nic nie zmienia. Ciągle to samo. Już myślałem o certyfikatach - co będzie się działo jak certyfikat po stronie suplikanta będzie zły? Ponadto to przecież w PEAP MSCHAPv2 może być tylko certyfikat po stronie serwera RADIUS, więc może to nie certyfikaty. Inna sprawa to zastosowany suplikant - Fata co byś mógł poleić, ja używam wpa_supplicant pod Windowsa z tąd http://w1.fi/wpa_supplicant/ .

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

osobiście korzystam z wpa_supplicanta, natomiast generalnie 99% userów u mnie korzysta po prostu z windowsowego (tylko taką konfigurację mam wrzuconą na stronę).

 

przy ms-chap musisz mieć cert na serwerze, ale musi też mieć zaintalowany go klient. wrzucasz cert do magazynu: głowne zaufane urzędy certfikacji. w przypadki braku u klienta tego certa autoryzacja się nie powiedzie

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach