LINUX.ORG.RU
ФорумAdmin

Минимальный пример FreeRADIUS EAP-TLS + Linux client

 ,


0

1

В смысле коммутатор (который в терминологии радиуса – клиент) нормальный, железный. А клиент – это третий компьютер, которому нужно авторизоваться на коммутаторе по радиусу.

если коротко, то на родных сертификатах, которые идут для примера с фрирадиусом, при попытке авторизоваться вот такое:

`` eap_tls: ERROR: TLS Alert read:fatal:decrypt error (23) eap_tls: TLS_accept: Need to read more data: error (23) eap_tls: ERROR: Failed in FUNCTION (SSL_read): error:1409441B:SSL routines:ssl3_read_bytes:tlsv1 alert decrypt error (23) eap_tls: ERROR: System call (I/O) error (-1) (23) eap_tls: ERROR: TLS receive handshake failed during operation (23) eap_tls: ERROR: [eaptls process] = fail (23) eap: ERROR: Failed continuing EAP TLS (13) session. EAP sub-module failed

``

у кого есть опыт? нужна простая конфигурация рабочая, от которой можно плясать

спасибо

★★★★★

Tls alert на стороне сервера обычно означает, что клиент не доверяет северному сертификату и поэтому прислал серверу Tls alert record.

Вообще там на сервере должен быть сертификат корневого ЦС, скрипты для выдачи сертификатов с этого ЦС, с него выдан сертификат сервера, с него должны выдаваться сертификаты клиентам. Конфиг модуля eap-tls доверяет клиентским сертификата, выданных только этим ЦС.

На клиент надо установить сертификат ЦС, чтобы клиент доверял серверу. И на клиент надо установить клиентский сертификат, выпущенный ЦС, с парным приватный ключом, чтобы сервер доверял клиенту.

iliyap ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.