Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problemi con autenticazione RADIUS Help!!

 
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal
Precedente :: Successivo  
Autore Messaggio
simone.bassi



Registrato: 22/04/12 17:23
Messaggi: 4

MessaggioInviato: Dom Mag 13, 2012 11:02 am    Oggetto: Problemi con autenticazione RADIUS Help!! Rispondi citando

Ciao a tutti,

ho un server zentyal dove ho centralizzato tutti gli utenti per tutti i servizi tramite quello di CP perché ho un problema di autenticazione; di seguito vi riporto un esempio per farvi capire qual'è:

- sul mio server Zentyal ho un utente che si chiama Pippo
- configurando ZS per radius esterno devo mettere un nome di dominio, decido di mettere il nome del server che è SERVER
- quando tento di fare l'accesso come Pippo su dominio SERVER mi viene negato l'accesso come utente pippo@SERVER

controllando nei log del mio server zentyal trovo il tentativo di accesso fatto da un utente che è pippo@SERVER e non Pippo, è possibile fare in modo che ZS non aggiunga il nome del dominio quando tenta l'autenticazione su radius esterno?

Spero di essermi spiegato bene, se avete bisogno di altre info, screen o quant'altro chiedete pure.

Attendo vostre risposte.
Grazie a tutti.
Simone
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Lun Mag 14, 2012 8:18 am    Oggetto: Rispondi citando

Come hai configurato il proxying?
Se non selezioni la checkbox 'NS' di fianco all'IP del server, il realm dovrebbe venir rimosso...
Top
Profilo Invia messaggio privato
simone.bassi



Registrato: 22/04/12 17:23
Messaggi: 4

MessaggioInviato: Lun Mag 14, 2012 12:17 pm    Oggetto: Rispondi citando

cosi facendo non vedo nemmeno più i log nel server radius.

la configurazione è la seguente:
- Realm: server
- Proxy server: 192.168.1.254 senza No Strip
- LB non fleggato
- Auth Port: 1812
- Shared Secret: parola segreta
- Acct: no

nella sezione di autenticazione del CP ho scelto TTLS
- Default RADIUS Request EAP-TTLS with PAP

non ho fleggato:
- Automatically authorize any Proxied RADIUS Domain
- Automatically authorize any Trusted Kerberos 5 Realm

Grazie
Simone
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Mar Mag 15, 2012 7:28 am    Oggetto: Rispondi citando

I motivi possono essere molteplici:
- la macchina ZS è correttamente aggiunta come client?
- hai inserito il realm 'server' nella lista di quelli offerti dal CP?

A naso, direi che Zentyal usi FreeRadius. Prova quindi a stoppare il servizio e ad eseguire freeradius -X .
Come prima cosa verifica che le richieste arrivino correttamente. Poi, in seconda battuta (se le richieste arrivano ma vengono rifiutate e non capisci perché, incolla l'output completo nel form su http://networkradius.com/freeradius.html che ti aiuta a capire meglio cosa non funziona.
Se invece non arrivano, vuol dire che hai incasinato qualcosa su ZS...

Altra possibilità: aggiungi nella config di FR su Zentyal il realm 'SERVER' come local.
Top
Profilo Invia messaggio privato
simone.bassi



Registrato: 22/04/12 17:23
Messaggi: 4

MessaggioInviato: Mar Mag 15, 2012 6:11 pm    Oggetto: Rispondi citando

riporto sotto il codice, non ci capisco molto, puoi aiutarmi?

Grazie
Simone

Codice:
FreeRADIUS Version 2.1.8, for host i486-pc-linux-gnu, built on Jan  5 2010 at 02:49:11
Copyright (C) 1999-2009 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
Starting - reading configuration files ...
including configuration file /etc/freeradius/radiusd.conf
including configuration file /etc/freeradius/proxy.conf
including configuration file /etc/freeradius/clients.conf
including files in directory /etc/freeradius/modules/
including configuration file /etc/freeradius/modules/detail
including configuration file /etc/freeradius/modules/passwd
including configuration file /etc/freeradius/modules/sradutmp
including configuration file /etc/freeradius/modules/digest
including configuration file /etc/freeradius/modules/expr
including configuration file /etc/freeradius/modules/attr_rewrite
including configuration file /etc/freeradius/modules/acct_unique
including configuration file /etc/freeradius/modules/unix
including configuration file /etc/freeradius/modules/mac2vlan
including configuration file /etc/freeradius/modules/sql_log
including configuration file /etc/freeradius/modules/detail.log
including configuration file /etc/freeradius/modules/logintime
including configuration file /etc/freeradius/modules/detail.example.com
including configuration file /etc/freeradius/modules/chap
including configuration file /etc/freeradius/modules/radutmp
including configuration file /etc/freeradius/modules/mschap
including configuration file /etc/freeradius/modules/smsotp
including configuration file /etc/freeradius/modules/checkval
including configuration file /etc/freeradius/modules/mac2ip
including configuration file /etc/freeradius/modules/exec
including configuration file /etc/freeradius/modules/ippool
including configuration file /etc/freeradius/modules/files
including configuration file /etc/freeradius/modules/perl
including configuration file /etc/freeradius/modules/krb5
including configuration file /etc/freeradius/modules/policy
including configuration file /etc/freeradius/modules/ntlm_auth
including configuration file /etc/freeradius/modules/otp
including configuration file /etc/freeradius/modules/wimax
including configuration file /etc/freeradius/modules/ldap
including configuration file /etc/freeradius/modules/inner-eap
including configuration file /etc/freeradius/modules/preprocess
including configuration file /etc/freeradius/modules/realm
including configuration file /etc/freeradius/modules/always
including configuration file /etc/freeradius/modules/etc_group
including configuration file /etc/freeradius/modules/counter
including configuration file /etc/freeradius/modules/linelog
including configuration file /etc/freeradius/modules/pap
including configuration file /etc/freeradius/modules/echo
including configuration file /etc/freeradius/modules/smbpasswd
including configuration file /etc/freeradius/modules/pam
including configuration file /etc/freeradius/modules/sqlcounter_expire_on_login
including configuration file /etc/freeradius/modules/attr_filter
including configuration file /etc/freeradius/modules/expiration
including configuration file /etc/freeradius/modules/cui
including configuration file /etc/freeradius/eap.conf
including configuration file /etc/freeradius/policy.conf
including files in directory /etc/freeradius/sites-enabled/
including configuration file /etc/freeradius/sites-enabled/default
including configuration file /etc/freeradius/sites-enabled/inner-tunnel
main {
   user = "freerad"
   group = "freerad"
   allow_core_dumps = no
}
including dictionary file /etc/freeradius/dictionary
main {
   prefix = "/usr"
   localstatedir = "/var"
   logdir = "/var/log/freeradius"
   libdir = "/usr/lib/freeradius"
   radacctdir = "/var/log/freeradius/radacct"
   hostname_lookups = no
   max_request_time = 30
   cleanup_delay = 5
   max_requests = 1024
   pidfile = "/var/run/freeradius/freeradius.pid"
   checkrad = "/usr/sbin/checkrad"
   debug_level = 0
   proxy_requests = yes
 log {
   stripped_names = no
   auth = yes
   auth_badpass = no
   auth_goodpass = no
 }
 security {
   max_attributes = 200
   reject_delay = 1
   status_server = yes
 }
}
radiusd: #### Loading Realms and Home Servers ####
 proxy server {
   retry_delay = 5
   retry_count = 3
   default_fallback = no
   dead_time = 120
   wake_all_if_all_dead = no
 }
 home_server localhost {
   ipaddr = 127.0.0.1
   port = 1812
   type = "auth"
   secret = "testing123"
   response_window = 20
   max_outstanding = 65536
   require_message_authenticator = no
   zombie_period = 40
   status_check = "status-server"
   ping_interval = 30
   check_interval = 30
   num_answers_to_alive = 3
   num_pings_to_alive = 3
   revive_interval = 120
   status_check_timeout = 4
   irt = 2
   mrt = 16
   mrc = 5
   mrd = 30
 }
 home_server_pool my_auth_failover {
   type = fail-over
   home_server = localhost
 }
 realm example.com {
   auth_pool = my_auth_failover
 }
 realm LOCAL {
 }
radiusd: #### Loading Clients ####
 client 192.168.1.251/32 {
   require_message_authenticator = no
   secret = "123456789"
   nastype = "other"
 }
 client 192.168.1.1/32 {
   require_message_authenticator = no
   secret = "123456789"
   nastype = "other"
 }
 client 192.168.1.2/32 {
   require_message_authenticator = no
   secret = "123456789"
   nastype = "other"
 }
radiusd: #### Instantiating modules ####
 instantiate {
 Module: Linked to module rlm_exec
 Module: Instantiating exec
  exec {
   wait = no
   input_pairs = "request"
   shell_escape = yes
  }
 Module: Linked to module rlm_expr
 Module: Instantiating expr
 Module: Linked to module rlm_expiration
 Module: Instantiating expiration
  expiration {
   reply-message = "Password Has Expired  "
  }
 Module: Linked to module rlm_logintime
 Module: Instantiating logintime
  logintime {
   reply-message = "You are calling outside your allowed timespan  "
   minimum-timeout = 60
  }
 }
radiusd: #### Loading Virtual Servers ####
server inner-tunnel {
 modules {
 Module: Checking authenticate {...} for more modules to load
 Module: Linked to module rlm_pap
 Module: Instantiating pap
  pap {
   encryption_scheme = "auto"
   auto_header = no
  }
 Module: Linked to module rlm_chap
 Module: Instantiating chap
 Module: Linked to module rlm_mschap
 Module: Instantiating mschap
  mschap {
   use_mppe = yes
   require_encryption = no
   require_strong = no
   with_ntdomain_hack = no
  }
 Module: Linked to module rlm_ldap
 Module: Instantiating ldap
  ldap {
   server = "ldap://127.0.0.1:389/"
   port = 389
   password = "-ZjS2Bc-X4PujEZX"
   identity = "cn=ebox,dc=SERVER"
   net_timeout = 1
   timeout = 4
   timelimit = 3
   tls_mode = no
   start_tls = no
   tls_require_cert = "allow"
   tls {
   start_tls = no
   require_cert = "allow"
   }
   basedn = "dc=SERVER"
   filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
   base_filter = "(objectclass=radiusprofile)"
   auto_header = no
   access_attr_used_for_allow = yes
   groupname_attribute = "cn"
   groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))"
   dictionary_mapping = "/etc/freeradius/ldap.attrmap"
   ldap_debug = 0
   ldap_connections_number = 5
   compare_check_items = no
   do_xlat = yes
   edir_account_policy_check = no
   set_auth_type = yes
  }
rlm_ldap: Registering ldap_groupcmp for Ldap-Group
rlm_ldap: Registering ldap_xlat with xlat_name ldap
rlm_ldap: reading ldap<->radius mappings from file /etc/freeradius/ldap.attrmap
rlm_ldap: LDAP radiusCheckItem mapped to RADIUS $GENERIC$
rlm_ldap: LDAP radiusReplyItem mapped to RADIUS $GENERIC$
rlm_ldap: LDAP radiusAuthType mapped to RADIUS Auth-Type
rlm_ldap: LDAP radiusSimultaneousUse mapped to RADIUS Simultaneous-Use
rlm_ldap: LDAP radiusCalledStationId mapped to RADIUS Called-Station-Id
rlm_ldap: LDAP radiusCallingStationId mapped to RADIUS Calling-Station-Id
rlm_ldap: LDAP lmPassword mapped to RADIUS LM-Password
rlm_ldap: LDAP ntPassword mapped to RADIUS NT-Password
rlm_ldap: LDAP sambaLmPassword mapped to RADIUS LM-Password
rlm_ldap: LDAP sambaNtPassword mapped to RADIUS NT-Password
rlm_ldap: LDAP dBCSPwd mapped to RADIUS LM-Password
rlm_ldap: LDAP acctFlags mapped to RADIUS SMB-Account-CTRL-TEXT
rlm_ldap: LDAP radiusExpiration mapped to RADIUS Expiration
rlm_ldap: LDAP radiusNASIpAddress mapped to RADIUS NAS-IP-Address
rlm_ldap: LDAP radiusServiceType mapped to RADIUS Service-Type
rlm_ldap: LDAP radiusFramedProtocol mapped to RADIUS Framed-Protocol
rlm_ldap: LDAP radiusFramedIPAddress mapped to RADIUS Framed-IP-Address
rlm_ldap: LDAP radiusFramedIPNetmask mapped to RADIUS Framed-IP-Netmask
rlm_ldap: LDAP radiusFramedRoute mapped to RADIUS Framed-Route
rlm_ldap: LDAP radiusFramedRouting mapped to RADIUS Framed-Routing
rlm_ldap: LDAP radiusFilterId mapped to RADIUS Filter-Id
rlm_ldap: LDAP radiusFramedMTU mapped to RADIUS Framed-MTU
rlm_ldap: LDAP radiusFramedCompression mapped to RADIUS Framed-Compression
rlm_ldap: LDAP radiusLoginIPHost mapped to RADIUS Login-IP-Host
rlm_ldap: LDAP radiusLoginService mapped to RADIUS Login-Service
rlm_ldap: LDAP radiusLoginTCPPort mapped to RADIUS Login-TCP-Port
rlm_ldap: LDAP radiusCallbackNumber mapped to RADIUS Callback-Number
rlm_ldap: LDAP radiusCallbackId mapped to RADIUS Callback-Id
rlm_ldap: LDAP radiusFramedIPXNetwork mapped to RADIUS Framed-IPX-Network
rlm_ldap: LDAP radiusClass mapped to RADIUS Class
rlm_ldap: LDAP radiusSessionTimeout mapped to RADIUS Session-Timeout
rlm_ldap: LDAP radiusIdleTimeout mapped to RADIUS Idle-Timeout
rlm_ldap: LDAP radiusTerminationAction mapped to RADIUS Termination-Action
rlm_ldap: LDAP radiusLoginLATService mapped to RADIUS Login-LAT-Service
rlm_ldap: LDAP radiusLoginLATNode mapped to RADIUS Login-LAT-Node
rlm_ldap: LDAP radiusLoginLATGroup mapped to RADIUS Login-LAT-Group
rlm_ldap: LDAP radiusFramedAppleTalkLink mapped to RADIUS Framed-AppleTalk-Link
rlm_ldap: LDAP radiusFramedAppleTalkNetwork mapped to RADIUS Framed-AppleTalk-Network
rlm_ldap: LDAP radiusFramedAppleTalkZone mapped to RADIUS Framed-AppleTalk-Zone
rlm_ldap: LDAP radiusPortLimit mapped to RADIUS Port-Limit
rlm_ldap: LDAP radiusLoginLATPort mapped to RADIUS Login-LAT-Port
rlm_ldap: LDAP radiusReplyMessage mapped to RADIUS Reply-Message
rlm_ldap: LDAP radiusTunnelType mapped to RADIUS Tunnel-Type
rlm_ldap: LDAP radiusTunnelMediumType mapped to RADIUS Tunnel-Medium-Type
rlm_ldap: LDAP radiusTunnelPrivateGroupId mapped to RADIUS Tunnel-Private-Group-Id
conns: 0x8a83b60
 Module: Linked to module rlm_eap
 Module: Instantiating eap
  eap {
   default_eap_type = "md5"
   timer_expire = 60
   ignore_unknown_eap_types = no
   cisco_accounting_username_bug = no
   max_sessions = 4096
  }
 Module: Linked to sub-module rlm_eap_md5
 Module: Instantiating eap-md5
 Module: Linked to sub-module rlm_eap_leap
 Module: Instantiating eap-leap
 Module: Linked to sub-module rlm_eap_gtc
 Module: Instantiating eap-gtc
   gtc {
   challenge = "Password: "
   auth_type = "PAP"
   }
 Module: Linked to sub-module rlm_eap_tls
 Module: Instantiating eap-tls
   tls {
   rsa_key_exchange = no
   dh_key_exchange = yes
   rsa_key_length = 512
   dh_key_length = 512
   verify_depth = 0
   pem_file_type = yes
   private_key_file = "/etc/freeradius/certs/freeradius.pem"
   certificate_file = "/etc/freeradius/certs/freeradius.pem"
   CA_file = "/etc/freeradius/certs/ca.pem"
   private_key_password = "whatever"
   dh_file = "/etc/freeradius/certs/dh"
   random_file = "/etc/freeradius/certs/random"
   fragment_size = 1024
   include_length = yes
   check_crl = no
   cipher_list = "DEFAULT"
    cache {
   enable = no
   lifetime = 24
   max_entries = 255
    }
   }
 Module: Linked to sub-module rlm_eap_ttls
 Module: Instantiating eap-ttls
   ttls {
   default_eap_type = "md5"
   copy_request_to_tunnel = no
   use_tunneled_reply = no
   virtual_server = "inner-tunnel"
   include_length = yes
   }
 Module: Linked to sub-module rlm_eap_peap
 Module: Instantiating eap-peap
   peap {
   default_eap_type = "mschapv2"
   copy_request_to_tunnel = no
   use_tunneled_reply = no
   proxy_tunneled_request_as_eap = yes
   virtual_server = "inner-tunnel"
   }
 Module: Linked to sub-module rlm_eap_mschapv2
 Module: Instantiating eap-mschapv2
   mschapv2 {
   with_ntdomain_hack = no
   }
 Module: Checking authorize {...} for more modules to load
 Module: Linked to module rlm_realm
 Module: Instantiating suffix
  realm suffix {
   format = "suffix"
   delimiter = "@"
   ignore_default = no
   ignore_null = no
  }
 Module: Linked to module rlm_files
 Module: Instantiating files
  files {
   usersfile = "/etc/freeradius/users"
   acctusersfile = "/etc/freeradius/acct_users"
   preproxy_usersfile = "/etc/freeradius/preproxy_users"
   compat = "no"
  }
 Module: Checking session {...} for more modules to load
 Module: Linked to module rlm_radutmp
 Module: Instantiating radutmp
  radutmp {
   filename = "/var/log/freeradius/radutmp"
   username = "%{User-Name}"
   case_sensitive = yes
   check_with_nas = yes
   perm = 384
   callerid = yes
  }
 Module: Checking post-proxy {...} for more modules to load
 Module: Checking post-auth {...} for more modules to load
 Module: Linked to module rlm_attr_filter
 Module: Instantiating attr_filter.access_reject
  attr_filter attr_filter.access_reject {
   attrsfile = "/etc/freeradius/attrs.access_reject"
   key = "%{User-Name}"
  }
 } # modules
} # server
server {
 modules {
 Module: Checking authenticate {...} for more modules to load
 Module: Checking authorize {...} for more modules to load
 Module: Linked to module rlm_preprocess
 Module: Instantiating preprocess
  preprocess {
   huntgroups = "/etc/freeradius/huntgroups"
   hints = "/etc/freeradius/hints"
   with_ascend_hack = no
   ascend_channels_per_line = 23
   with_ntdomain_hack = no
   with_specialix_jetstream_hack = no
   with_cisco_vsa_hack = no
   with_alvarion_vsa_hack = no
  }
 Module: Checking preacct {...} for more modules to load
 Module: Linked to module rlm_acct_unique
 Module: Instantiating acct_unique
  acct_unique {
   key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
  }
 Module: Checking accounting {...} for more modules to load
 Module: Linked to module rlm_detail
 Module: Instantiating detail
  detail {
   detailfile = "/var/log/freeradius/radacct/%{Client-IP-Address}/detail-%Y%m%d"
   header = "%t"
   detailperm = 384
   dirperm = 493
   locking = no
   log_packet_header = no
  }
 Module: Instantiating attr_filter.accounting_response
  attr_filter attr_filter.accounting_response {
   attrsfile = "/etc/freeradius/attrs.accounting_response"
   key = "%{User-Name}"
  }
 Module: Checking session {...} for more modules to load
 Module: Checking post-proxy {...} for more modules to load
 Module: Checking post-auth {...} for more modules to load
 } # modules
} # server
radiusd: #### Opening IP addresses and Ports ####
listen {
   type = "auth"
   ipaddr = *
   port = 0
Failed binding to authentication address * port 1812: Address already in use
/etc/freeradius/radiusd.conf[240]: Error binding to port for 0.0.0.0 port 1812
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Mer Mag 16, 2012 10:18 am    Oggetto: Rispondi citando

Beh, il messaggio nelle ultime due righe mi pare molto chiaro: la porta 1812 è già in uso.
Hai stoppato il servizio radius prima di avviarlo manualmente? Mi sa di no...

PS: ricordati poi di cambiare la password per ldap!
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Mer Mag 16, 2012 10:19 am    Oggetto: Rispondi citando

Ah, dimenticavo: 2.1.8 è una release vecchissima! Aggiorna alla 2.1.12!
Top
Profilo Invia messaggio privato
simone.bassi



Registrato: 22/04/12 17:23
Messaggi: 4

MessaggioInviato: Ven Mag 18, 2012 6:58 pm    Oggetto: Rispondi citando

freeradius lo stoppo facendo:
Codice:
root@SERVER:/home/administrator# freeradius stop

rilanciando freeradius -X continua a darmi lo stesso errore nelle righe finale!
sbaglio io qualcosa?
Grazie
Simone
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 509

MessaggioInviato: Lun Mag 21, 2012 10:57 am    Oggetto: Rispondi citando

Controlla che sia effettivamente stoppato. Ne dubito fortemente, visto che lo fai da utente (anche se si chiama 'administrator'). Ma magari questo è specifico di Zentyal (che non conosco).

Se poi hai portreserve, devi anche "spiegargli" di renderti la porta, altrimenti quando fermi FR lui se la riprende.

"lsof|grep 1812" dovrebbe aiutarti a capire chi la sta usando.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it