Toon posts:

[Radius] Ik krijg geen authenticatiepakketjes terug

Pagina: 1
Acties:

vrijdag 18 december 2009 16:57

Acties:
  • HyperBart
  • Registratie: Maart 2006
  • Nu online

HyperBart

Topicstarter
Ik ben nu zover dat ik een LDAP server heb opgezet, ik heb phpldapadmin dan geïnstalleerd om het geheel wat visueel voorstelbaar te krijgen.

Ook handig om gebruikers toe te voegen (daar zit ook nog wel een foutje in), en ik kan Simple Security Object's toevoegen.

Nu heb ik een user toegevoegd (voor de lol noem ik 'm even "femmetaken") met als wachtwoord "tweakers"

Ik probeer dus met vlg commando:

radtest femmetaken "tweakers" 127.0.0.1 1812 testing123


Hij probeert/begint dan een pakketje te zenden, maar hij blijft dat maar doen. Ik krijg als output:
Sending Access-Request of id 184 to 127.0.0.1 port 1812
        User-Name = "femmetaken"
        User-Password = "tweakers"
        NAS-IP-Address = 192.168.8.199
        NAS-Port = 1812


En die melding/boodschap/feedback krijg ik iedere keer onder mekaar. Ik ben een beetje ten einde raad en had graag geweten hoe ik nu verder kan kijken wat er fout loopt. Indien nodig wil ik gerust mijn configfiles eens posten. Maar ik benadruk: radius is totaal nieuw voor mij, ik wou onder linux gewoon een simpel servertje opzetten voor mijn wifi, maar dat is toch even verschieten. Alle hulp is welkom...

Ter info: basically heb ik deze howto gevolgd: http://tldp.org/HOWTO/arc...ntation-HOWTO/radius.html

Mijn freeradius -X output is:
Listening on authentication address * port 1812
Listening on proxy address * port 1814
Ready to process requests.

[ Voor 9% gewijzigd door HyperBart op 18-12-2009 20:58 ]

maandag 21 december 2009 17:17

Acties:
  • ripperke
  • Registratie: Augustus 2003
  • Laatst online: 15-10 15:37

ripperke

w00t!

Post eens output van slapcat en je (relevante) radius logs.

If TCP/IP handshaking was less formal, perhaps SYN/ACK would be YO/WASSUP

maandag 21 december 2009 18:25

Acties:
  • HyperBart
  • Registratie: Maart 2006
  • Nu online

HyperBart

Topicstarter
verwijderd

[ Voor 99% gewijzigd door HyperBart op 25-09-2015 16:39 . Reden: privacy ]

maandag 21 december 2009 19:03

Acties:
  • ripperke
  • Registratie: Augustus 2003
  • Laatst online: 15-10 15:37

ripperke

w00t!

dn: uid=femmetaken,ou=Users,dc=domain,dc=local
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: femmetaken
userPassword:: dn: dc=nodomain (hé?)
objectClass: top
objectClass: dcObject
objectClass: organization
o: nodomain
dc: nodomain
structuralObjectClass: organization
entryUUID: d3f6bfec-66da-102e-906e-4d8f66d6e6f8
creatorsName:
createTimestamp: 20091116090444Z
entryCSN: 20091116090444.875497Z#000000#000#000000
modifiersName:
modifyTimestamp: 20091116090444Z

...

dn: uid=femmetaken,ou=Users,dc=domain,dc=local
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: femmetaken
userPassword:: [censuur]
structuralObjectClass: account
entryUUID: 10b7bd08-8032-102e-8383-2d7e06c53462
creatorsName: cn=admin,dc=domain,dc=local
createTimestamp: 20091218150212Z
entryCSN: 20091218150212.088688Z#000000#000#000000
modifiersName: cn=admin,dc=domain,dc=local
modifyTimestamp: 20091218150212Z


Femme staat er 2 keer in?

Maar goed, als je die tutorial goed hebt gevolgd zul je nu in je radius.conf volgende filter hebben staan:
code:
1

filter   = "(posixAccount)(uid=%u))"


Die filtert (geen idee of die filter wel klopt, moet volgens mij (&(objectClass=posixAccount)(uid=%u)) zijn) op posixAccount, maar jij hebt helemaal geen posixAccounts, maar gewone "account"s (objectClass), dus pas je filter al eens aan naar :

code:
1

filter   = "(&(objectClass=account)(uid=%u))" of zelfs "(uid=%u)"


Run daarna je freeradius eens met debugging aan: freeradius -X -f

[ Voor 1% gewijzigd door ripperke op 29-01-2018 18:58 . Reden: request HyperBart: privacy edit ]

If TCP/IP handshaking was less formal, perhaps SYN/ACK would be YO/WASSUP

maandag 21 december 2009 21:21

Acties:
  • HyperBart
  • Registratie: Maart 2006
  • Nu online

HyperBart

Topicstarter
ripperke schreef op maandag 21 december 2009 @ 19:03:
Femme staat er 2 keer in?
Neen, ik heb een aantal gegevens aangepast, ik had voor de lol mijn vriendin er in gezet, en mijn vader enzo, en die heb ik vervangen door "femmetaken", maar blijkbaar ben ik iets te fel bezig geweest met mijn bandwerk...

Ik heb dan maar een echte "femmetaken" aangemaakt.

Output van de freeradus -X -f:

rad_recv: Access-Request packet from host 127.0.0.1 port 37985, id=14, length=62
        User-Name = "femmetaken"
        User-Password = "tweakers"
        NAS-IP-Address = 192.168.8.199
        NAS-Port = 1
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "femmetaken", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
[files] users: Matched entry DEFAULT at line 205
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
++[pap] returns noop
Found Auth-Type = LDAP
  WARNING: Unknown value specified for Auth-Type.  Cannot perform requested action.
Failed to authenticate the user.
Using Post-Auth-Type Reject
+- entering group REJECT {...}
        expand: %{User-Name} -> femmetaken
 attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 1 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 1
Sending Access-Reject of id 14 to 127.0.0.1 port 37985
Waking up in 4.9 seconds.
Cleaning up request 1 ID 14 with timestamp +184
Ready to process requests.


Voor zover ik kan afleiden gaat het dus ergens de mist in met het wachtwoord voorlopig al...

Ik vind het ook raar dat ik in mijn LDAP geen User Account kan toevoegen en altijd moet werken met Simple Security Object

[ Voor 72% gewijzigd door HyperBart op 21-12-2009 21:37 ]

dinsdag 22 december 2009 10:19

Acties:
  • ripperke
  • Registratie: Augustus 2003
  • Laatst online: 15-10 15:37

ripperke

w00t!

  WARNING: Unknown value specified for Auth-Type.  Cannot perform requested action.
Failed to authenticate the user.


Volgens mij heb je de freeradius LDAP module niet geinstalleerd staan... (rpm -qa |grep freeradius ; apt-cache policy freeradius-ldap)

If TCP/IP handshaking was less formal, perhaps SYN/ACK would be YO/WASSUP

dinsdag 22 december 2009 16:09

Acties:
  • HyperBart
  • Registratie: Maart 2006
  • Nu online

HyperBart

Topicstarter
nochtans:
bart@ubuntu:~$ sudo apt-get install freeradius-ldap
[sudo] password for bart:
Reading package lists... Done
Building dependency tree
Reading state information... Done
freeradius-ldap is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 12 not upgraded.


Ik werk op ubuntu server ;)

dinsdag 22 december 2009 21:48

Acties:
  • ripperke
  • Registratie: Augustus 2003
  • Laatst online: 15-10 15:37

ripperke

w00t!

Snel even gekeken hoe het zit onder ubuntu, kan je eens kijken of volgende dingen zeker niet gecomment staan ?

/etc/freeradius/sites-enabled/default
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

...
authorize {
...
ldap
...
}

authenticate {
...
Auth-Type LDAP {
  ldap
}
...


Check ook zeker dat je radius je userPassword uit LDAP kan lezen, gemakkelijkste is om je admin credentials in radiusd.conf te zetten. Anders user aanmaken (in LDAP) en toegang geven tot userPassword in /etc/ldap/slapd.conf.

Je kan dit gemakkelijk testen met:
code:
1

ldapsearch -x -W -D "cn=admin,dc=domain,dc=..."


Als je dan al je LDAP objecten ziet, inclusief userPassword kan je deze user gebruiken.


Succes!

[ Voor 0% gewijzigd door ripperke op 29-01-2018 18:59 . Reden: request HyperBart: privacy edit ]

If TCP/IP handshaking was less formal, perhaps SYN/ACK would be YO/WASSUP

woensdag 23 december 2009 13:04

Acties:
  • HyperBart
  • Registratie: Maart 2006
  • Nu online

HyperBart

Topicstarter
Ik heb in mijn radiusd.conf het volgende staan, helemaal vanonder:

ldap {
        server  = 192.168.8.199
        login   = "cn=admin,dc=testdomain,dc=local"
        password= blabla
        basedn  = "ou=users,dc=testdomain,dc=local"
        #filter = "(simpleSecurityObject)(userid=%u))"
        #filter = "(&(objectClass=account)(uid=%u))"
        filter  = "(uid=%u)"
}

authorize {
        preprocess
        mschap
        suffix
        eap
        files
}

authenticate {

        pam
        unix
        sql
        sql2
        Auth-Type LDAP {
                ldap
        }

        Auth-Type MS-CHAP {
                mschap
        }
        eap

}



Maar als ik het ldapsearch commando uitvoer krijg ik wel dit:

bart@ubuntu:/etc/freeradius$ ldapsearch -x -W -D "cn=admin,dc=testdomain,dc=local"
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

[ Voor 22% gewijzigd door HyperBart op 30-09-2015 23:23 ]

woensdag 23 december 2009 13:27

Acties:
  • ripperke
  • Registratie: Augustus 2003
  • Laatst online: 15-10 15:37

ripperke

w00t!

Je mist ldap in je authorize sectie... maar zie eerst dat die ldapsearch werkt, als je het command line niet kan gaat je radius het ook niet kunnen.

If TCP/IP handshaking was less formal, perhaps SYN/ACK would be YO/WASSUP

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq