Jump to content
Калькуляторы

Помогите с настройкой Freeradius Немного запутался

В файле users.conf прописываю следующее, в самом начале:

 

DEFAULT Auth-Type := Reject

Reply-Message = "Your login/password is not valid :("

 

Если юзер ввёл неверный логин/пароль, то радиус отсылает сообщение, всё правильно отсылает и никого не пускает.

 

Но клиент радиуса возвращает пользователю повторный запрос ввода логина и пароля :(

Как сделать так, чтобы клиент отсылал пользователю тупо ошибку 691 или 647?

Share this post


Link to post
Share on other sites

А в клиенте нельзя прописать количество попыток авторизации?

 

Share this post


Link to post
Share on other sites

можно, но не в этом дело.

 

немного поразбирался, оказывается нужно отправлять параметр MS-CHAP-Error = "9E=691 R=1"

 

Но когда я прописываю в файле users.conf следующее:

 

DEFAULT Auth-Type := Reject

MS-CHAP-Error = "9E=691 R=1"

 

то в итоге получаю это:

 

Sending Access-Reject of id 16 to 192.168.28.250 port 1059

Finished request 0

 

И получается, то ошибку как таковую клиент не получает.

 

Вопрос: где можно прописать параметр MS-CHAP-Error, чтобы он возвращался на клиента в случае неверной авторизации?

Reply-Message отправляется нормально, но смысла в ней нет никакого.

Edited by terrible

Share this post


Link to post
Share on other sites

Короче дошел до следующего:

Задача: не дать определённым пользователям залогиниться на PPP сервер, в случае, если логин/пароль указаны верно:

Найденные варианты:

Отброс пользователя:

Tunnel-Type := VLAN

Service-Type := Callback-Login-User или задать любой другой, отличный от Framed-User

Framed-Protocol := SLIP или задать любой другой, отличный от PPP

Session-Timeout := 1 - разрыв соединения через секунду

 

Первые 3 варианта действительно отбрасывают пользователя, но возвращают ему ошибки, которые могут ввести его в заблуждение. При неправильном вводе логина и пароля так и не смог добиться возвращения ошибки 691, получаю только это:

 

auth: type "MS-CHAP"

Processing the authenticate section of radiusd.conf

modcall: entering group MS-CHAP for request 28

rlm_mschap: No User-Password configured. Cannot create LM-Password.

rlm_mschap: No User-Password configured. Cannot create NT-Password.

rlm_mschap: Told to do MS-CHAPv2 for test5 with NT-Password

rlm_mschap: FAILED: No NT/LM-Password. Cannot perform authentication.

rlm_mschap: FAILED: MS-CHAP2-Response is incorrect

modcall[authenticate]: module "mschap" returns reject for request 28

modcall: leaving group MS-CHAP (returns reject) for request 28

auth: Failed to validate the user.

Login incorrect: [test5/<no User-Password attribute>] (from client localhost por

t 2 cli 192.168.28.10)

Sending Access-Reject of id 29 to 192.168.28.250 port 1124

Finished request 28

Going to the next request

 

Куда копать, что читать, чтобы добиться возврата ошибки 691?

 

версия фрирадиуса: 1.1.7-r0.0.2, проапгрейдится на 2-ю возможности нет, т.к. под винды скомпилиную не нашел, переход на юникс невозможен :(

Edited by terrible

Share this post


Link to post
Share on other sites

У меня похожее сделано через проверку логина/пароля своими скриптами, запуск в радиусе через exec. Пример функций проверки на перле есть в abills.

 

пс. если проверка пароля по ms-chap1-2, то необязательно отдавать 691, можно подобрать любой виндовый код ошибки, подходящий к ситуации , например

неправильный пароль - ERROR_INVALID_PASSWORD(86), логин ERROR_INVALID_ACCOUNT_NAME(1315) и т.д. Вам бы подошло ERROR_ACCOUNT_DISABLED(1331)

Edited by a_andry

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this