Ik probeer m'n FreeRADIUS 1.1.7 server zo te configureren dat 802.1x clients kunnen authenticeren dmv PEAP. Nu heb ik het al zover geconfigureerd dat het hele EAP gedeelte van FreeRADIUS werkt, ik heb in mn users file 1 test gebruiker staan en daar kan ik succesvol mee inloggen:
Test:
Echter wanneer ik probeer in te loggen met een user welke in de LDAP directory staat krijg ik een access-reject. Het LDAP gedeelte opzich klopt wel want wanneer ik de LDAP user test met radtest krijg ik een access-accept:
echter wanneer ik via EAP in wil loggen krijg ik dus een access-reject:
De debug output van de radius server heb ik hier neergezet ivm de hoeveelheid. Maar daar zie ik verder geen fouten in, alleen dat er een access-reject word gestuurd. De LDAP user heeft een plaintext password in zijn userPassword staan. Ik weet eigenlijk niet meer waar ik nu verder moet zoeken aangezien ik geen foutmelding krijg.
Overige configs
Edit:
Ik ben er ondertussen achter dat er in de syslog wel een foutmelding kwam die niet in de debug output stond. Dit is het volgende:
Echter heb ik hier nog geen oplossing mee kunnen vinden.
code:
1
| "henkjan" User-Password == "test123" |
Test:
Bash:
1
2
| # ./rad_eap_test -H 127.0.0.1 -P 1812 -S xxxxxxx -s xxx -u henkjan -p test123 -m IEEE8021X -e PEAP access-accept; 0 |
Echter wanneer ik probeer in te loggen met een user welke in de LDAP directory staat krijg ik een access-reject. Het LDAP gedeelte opzich klopt wel want wanneer ik de LDAP user test met radtest krijg ik een access-accept:
Bash:
1
2
3
4
5
6
7
8
| # radtest karel test123 127.0.0.1 0 xxxxx Sending Access-Request of id 230 to 127.0.0.1 port 1812 User-Name = "karel" User-Password = "test123" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=230, length=75 Service-Type = NAS-Prompt-User |
echter wanneer ik via EAP in wil loggen krijg ik dus een access-reject:
Bash:
1
2
| # ./rad_eap_test -H 127.0.0.1 -P 1812 -S xxxxxxx -s xxx -u karel -p test123 -m IEEE8021X -e PEAP access-reject; 4 |
De debug output van de radius server heb ik hier neergezet ivm de hoeveelheid. Maar daar zie ik verder geen fouten in, alleen dat er een access-reject word gestuurd. De LDAP user heeft een plaintext password in zijn userPassword staan. Ik weet eigenlijk niet meer waar ik nu verder moet zoeken aangezien ik geen foutmelding krijg.
Overige configs
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| [..]
modules {
pap {
encryption_scheme = sha1
}
ldap {
[..]
}
$INCLUDE ${confdir}/eap.conf
mschap {
authtype = MS-CHAP
use_mppe = no
require_encryption = yes
require_strong = yes
}
}
authorize {
preprocess
mschap
ldap
eap
files
}
authenticate {
Auth-Type MS-CHAP {
mschap
}
eap
ldap
pap
} |
code:
1
2
3
4
5
6
7
| eap {
default_eap_type = peap
}
peap {
default_eap_type = mschapv2
} |
Edit:
Ik ben er ondertussen achter dat er in de syslog wel een foutmelding kwam die niet in de debug output stond. Dit is het volgende:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| rlm_ldap: - authorize rlm_ldap: performing user authorization for karel rlm_ldap: ldap_get_conn: Checking Id: 0 rlm_ldap: ldap_get_conn: Got Id: 0 rlm_ldap: looking for check items in directory... rlm_ldap: looking for reply items in directory... rlm_ldap: user karel authorized to use remote access rlm_ldap: ldap_release_conn: Release Id: 0 rlm_ldap: Entering ldap_groupcmp() rlm_ldap: ldap_get_conn: Checking Id: 0 rlm_ldap: ldap_get_conn: Got Id: 0 rlm_ldap::ldap_groupcmp: User found in group network rlm_ldap: ldap_release_conn: Release Id: 0 rlm_eap: Either EAP-request timed out OR EAP-response to an unknown EAP-request Login incorrect: [karel] (from client fxw port 0 cli 70-6F-6C-69-73-68) |
Echter heb ik hier nog geen oplossing mee kunnen vinden.
[ Voor 35% gewijzigd door IcE_364 op 02-06-2009 16:17 ]
. Het was een van de ACL's van LDAP welke toegang tot het password niet toestond.