terrible Posted July 24, 2009 Posted July 24, 2009 В файле users.conf прописываю следующее, в самом начале: DEFAULT Auth-Type := Reject Reply-Message = "Your login/password is not valid :(" Если юзер ввёл неверный логин/пароль, то радиус отсылает сообщение, всё правильно отсылает и никого не пускает. Но клиент радиуса возвращает пользователю повторный запрос ввода логина и пароля :( Как сделать так, чтобы клиент отсылал пользователю тупо ошибку 691 или 647? Вставить ник Quote
a_andry Posted July 28, 2009 Posted July 28, 2009 А в клиенте нельзя прописать количество попыток авторизации? Вставить ник Quote
terrible Posted July 28, 2009 Author Posted July 28, 2009 (edited) можно, но не в этом дело. немного поразбирался, оказывается нужно отправлять параметр MS-CHAP-Error = "9E=691 R=1" Но когда я прописываю в файле users.conf следующее: DEFAULT Auth-Type := Reject MS-CHAP-Error = "9E=691 R=1" то в итоге получаю это: Sending Access-Reject of id 16 to 192.168.28.250 port 1059 Finished request 0 И получается, то ошибку как таковую клиент не получает. Вопрос: где можно прописать параметр MS-CHAP-Error, чтобы он возвращался на клиента в случае неверной авторизации? Reply-Message отправляется нормально, но смысла в ней нет никакого. Edited July 28, 2009 by terrible Вставить ник Quote
terrible Posted August 6, 2009 Author Posted August 6, 2009 (edited) Короче дошел до следующего: Задача: не дать определённым пользователям залогиниться на PPP сервер, в случае, если логин/пароль указаны верно: Найденные варианты: Отброс пользователя: Tunnel-Type := VLAN Service-Type := Callback-Login-User или задать любой другой, отличный от Framed-User Framed-Protocol := SLIP или задать любой другой, отличный от PPP Session-Timeout := 1 - разрыв соединения через секунду Первые 3 варианта действительно отбрасывают пользователя, но возвращают ему ошибки, которые могут ввести его в заблуждение. При неправильном вводе логина и пароля так и не смог добиться возвращения ошибки 691, получаю только это: auth: type "MS-CHAP" Processing the authenticate section of radiusd.conf modcall: entering group MS-CHAP for request 28 rlm_mschap: No User-Password configured. Cannot create LM-Password. rlm_mschap: No User-Password configured. Cannot create NT-Password. rlm_mschap: Told to do MS-CHAPv2 for test5 with NT-Password rlm_mschap: FAILED: No NT/LM-Password. Cannot perform authentication. rlm_mschap: FAILED: MS-CHAP2-Response is incorrect modcall[authenticate]: module "mschap" returns reject for request 28 modcall: leaving group MS-CHAP (returns reject) for request 28 auth: Failed to validate the user. Login incorrect: [test5/<no User-Password attribute>] (from client localhost por t 2 cli 192.168.28.10) Sending Access-Reject of id 29 to 192.168.28.250 port 1124 Finished request 28 Going to the next request Куда копать, что читать, чтобы добиться возврата ошибки 691? версия фрирадиуса: 1.1.7-r0.0.2, проапгрейдится на 2-ю возможности нет, т.к. под винды скомпилиную не нашел, переход на юникс невозможен :( Edited August 6, 2009 by terrible Вставить ник Quote
a_andry Posted August 7, 2009 Posted August 7, 2009 (edited) У меня похожее сделано через проверку логина/пароля своими скриптами, запуск в радиусе через exec. Пример функций проверки на перле есть в abills. пс. если проверка пароля по ms-chap1-2, то необязательно отдавать 691, можно подобрать любой виндовый код ошибки, подходящий к ситуации , например неправильный пароль - ERROR_INVALID_PASSWORD(86), логин ERROR_INVALID_ACCOUNT_NAME(1315) и т.д. Вам бы подошло ERROR_ACCOUNT_DISABLED(1331) Edited August 7, 2009 by a_andry Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.