LINUX.ORG.RU
ФорумSecurity

Авторизация 802.1x

 , , ,


0

1

Всем привет. Стоит задача реализовать авторизацию по 802.1x. Radius крутится на debian, по ldap смотрит в AD. Если всё гуд, то выдаётся ip. Но всегда прилетает 

Sending Access-Reject of id 27 to 10.10.1.198 port 1838
        EAP-Message = 0x04090004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.8 seconds.
Куда копать? Реализовывал кто то подобное?



Последнее исправление: beastie (всего исправлений: 1)

Ответ на: вот что в дебаге от letnab001

А вот и ответ:
[mschap] Creating challenge hash with username: tftadmin
[mschap] expand: %{mschap:Challenge} -> 889dade9815638df
[mschap] expand: --challenge=%{%{mschap:Challenge}:-00} -> --challenge=889dade9815638df
[mschap] expand: %{mschap:NT-Response} -> 7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
[mschap] expand: --nt-response=%{%{mschap:NT-Response}:-00} -> --nt-response=7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
[mschap] External script failed.

zgen ★★★★★
()
Ответ на: комментарий от letnab001

В смысле? У вас вызывается внешняя программа (winbind) для проверки пароля, вызов этой программы не работает, либо выдает не тот результат, что ожидается. Почините её - у вас все заработает.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Получилось.. А как передать VlanID?? 

Sending Access-Accept of id 150 to 10.10.1.198 port 1838
        MS-MPPE-Recv-Key = 0x933bd265406695e9d1af32962b2d6695b0fdf3cf13d59ffdaf77076fb6f47ec9
        MS-MPPE-Send-Key = 0xaa36cc2cc99f94922704594bc85b52a7922f62af925a64ff7297f73c2ba80357
        EAP-Message = 0x030a0004
        Message-Authenticator = 0x00000000000000000000000000000000
        User-Name = "tftadmin"

letnab001
() автор топика
Ответ на: комментарий от letnab001

в секции post-auth файла /etc/freeradius/sites-enabled/default 

update reply {
Tunnel-Type := "VLAN"
Tunnel-Medium-Type := "IEEE-802"
Tunnel-Private-Group-ID := "resnet"
}

letnab001
() автор топика
Ответ на: комментарий от letnab001

Теперь не могу определить принадлежность к группе. Пробовал по статье http://unixforum.org/index.php?showtopic=120183

Если название группы ITStaff то всё гуд..

а если Департамент IT то он не находит. Может во freeradius надо как то иначе указывать название группы?

letnab001
() автор топика
Ответ на: комментарий от letnab001

Избегай русского языка в названиях групп или занимайся их перекодировкой.

zgen ★★★★★
()
Ответ на: комментарий от letnab001

И снова трудность... Если в AD поставить галочку требовать смену пароля при входе в систему, то радиус выдаёт 

Exec-Program output: Must change password (0xc0000224)
Exec-Program-Wait: plaintext: Must change password (0xc0000224)
Exec-Program: returned: 1
[mschap] External script failed.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
MSCHAP Failure


Sending Access-Reject of id 191 to 10.10.1.198 port 1838
        EAP-Message = 0x040a0004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.7 seconds.

Хотел сделать как тут https://fossies.org/linux/misc/freeradius-server-3.0.11.tar.gz/freeradius-server-3.0.11/doc/modules/mschap.rst Но это для версии >=3.x.x как быть??

letnab001
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security