Jump to content

FreeRADIUS2 - не могу разобраться с sql

Turbid
 Share

Recommended Posts

Turbid

Turbid

Posted
Posted

Пытаюсь прикрутить авторизацию в радиусе для точек доступа через EAP-PEAP+MSCHAPv2. Для локального пользователя из файла users:

 

tester    Cleartext-Password := "tester"

 

Авторизация проходит нормально, вот лог: http://pastebin.com/4aE5i9Vt

 

А вот у пользователя vasya, созданного в sql через daloradius нет: http://pastebin.com/tHbUuJq9

 

Причем radtest для него проходит нормально:

 

radtest vasya vasya localhost 1 testing123
Sending Access-Request of id 220 to 127.0.0.1 port 1812
   User-Name = "vasya"
   User-Password = "vasya"
   NAS-IP-Address = 10.10.0.141
   NAS-Port = 1
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=220, length=20

 

Уже не знаю что делать.

 

Разница в логах, насколько я смог заметить, начинается в этих блоках:

 

для tester:

 

auth: type "EAP"
+- entering group authenticate
 rlm_eap: Request found, released from the list
 rlm_eap: EAP/mschapv2
 rlm_eap: processing type mschapv2
+- entering group MS-CHAP
 rlm_mschap: Told to do MS-CHAPv2 for tester with NT-Password
++[mschap] returns ok
MSCHAP Success 
++[eap] returns handled
} # server inner-tunnel
 PEAP: Got tunneled reply RADIUS code 11
   EAP-Message = 0x010800331a0307002e533d32354639454346413136313845393843333932443535433535454343424433353335463233374436
   Message-Authenticator = 0x00000000000000000000000000000000
   State = 0x45ec2fcd44e435548ba441bf0fe730d0
 PEAP: Processing from tunneled session code 0xc26520 11
   EAP-Message = 0x010800331a0307002e533d32354639454346413136313845393843333932443535433535454343424433353335463233374436
   Message-Authenticator = 0x00000000000000000000000000000000
   State = 0x45ec2fcd44e435548ba441bf0fe730d0
 PEAP: Got tunneled Access-Challenge
++[eap] returns handled
Sending Access-Challenge of id 198 to 10.10.17.123 port 1026
   EAP-Message = 0x0108005b190017030100508646883fae54e44eb2f921f179af2b1cdf49057322b97f74c412896d60ac686cc4b7f048001382c38a549f619e739339c3ac76cbeb29b52dbedb9ee2c6e6c1a12f1ba8fad546102c2cf9b9efdae02465
   Message-Authenticator = 0x00000000000000000000000000000000
   State = 0xa44b1a68a34303fb909c3ce6cf13014b

 

для vasya:

 

auth: type "EAP"
+- entering group authenticate
 rlm_eap: Request found, released from the list
 rlm_eap: EAP/mschapv2
 rlm_eap: processing type mschapv2
+- entering group MS-CHAP
 rlm_mschap: No Cleartext-Password configured.  Cannot create LM-Password.
 rlm_mschap: No Cleartext-Password configured.  Cannot create NT-Password.
 rlm_mschap: Told to do MS-CHAPv2 for vasya with NT-Password
 rlm_mschap: FAILED: No NT/LM-Password.  Cannot perform authentication.
 rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
 rlm_eap: Freeing handler
++[eap] returns reject
auth: Failed to validate the user.
} # server inner-tunnel
 PEAP: Got tunneled reply RADIUS code 3
   MS-CHAP-Error = "\007E=691 R=1"
   EAP-Message = 0x04070004
   Message-Authenticator = 0x00000000000000000000000000000000
 PEAP: Processing from tunneled session code 0x1f4cf30 3
   MS-CHAP-Error = "\007E=691 R=1"
   EAP-Message = 0x04070004
   Message-Authenticator = 0x00000000000000000000000000000000
 PEAP: Tunneled authentication was rejected.
 rlm_eap_peap: FAILURE
++[eap] returns handled
Sending Access-Challenge of id 68 to 10.10.17.123 port 1026
   EAP-Message = 0x0108003b19001703010030e4e7d667aac1ff51d3db0be50af9914111a52b2d852df45475cff177d276627720c9ca88eb893ce31208da344ddcce6d
   Message-Authenticator = 0x00000000000000000000000000000000
   State = 0xb2c69c09b5ce85c482959ed33c63d6f2
Finished request 7.

 

 

Куда глядеть?

Turbid

Turbid

Posted
  • Author
Posted

Вот сюда:

 rlm_mschap: No Cleartext-Password configured.  Cannot create LM-Password.
 rlm_mschap: No Cleartext-Password configured.  Cannot create NT-Password.

 

Странно:

 

mysql> select * from radcheck;
+----+----------+--------------------+----+-------+
| id | username | attribute          | op | value |
+----+----------+--------------------+----+-------+
|  1 | vasya    | Cleartext-Password | := | vasya |
+----+----------+--------------------+----+-------+
1 row in set (0.00 sec)

Turbid

Turbid

Posted
  • Author
Posted

в почему при авторизации нет SQL запросов? при дебаге должны быть

 

а это что?

 

        expand: %{User-Name} -> vasya
rlm_sql (sql): sql_set_user escaped user --> 'vasya'
rlm_sql (sql): Reserving sql socket id: 4
       expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'vasya'           ORDER BY id

rlm_sql (sql): User found in radcheck table
       expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'vasya'           ORDER BY id
       expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'vasya'           ORDER BY priority
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok

Turbid

Turbid

Posted
  • Author
Posted

Вот тоже самое должно быть и для radreply.

 

Так, тогда такие 2 вопроса

 

1. Зачем 2 таблицы с одинаковыми данными?

2. Как добавить radreply-атрибуты пользователю в daloradius (см. скриншот)?

 

tYTRmYw.jpg

Deac

Deac

Posted
Posted

Это не две таблицы, это разные механизмы.

radcheck проверяет валидность.

radreply возвращает аттрибуты для последующего использования.

Читай RFC.

Turbid

Turbid

Posted
  • Author
Posted

Да что же это такое:

 

mysql> select * from radcheck;
+----+----------+--------------------+----+-------+
| id | username | attribute          | op | value |
+----+----------+--------------------+----+-------+
|  2 | petya    | Cleartext-Password | := | petya |
+----+----------+--------------------+----+-------+
1 row in set (0.00 sec)

mysql> select * from radreply;
+----+----------+--------------------+----+-------+
| id | username | attribute          | op | value |
+----+----------+--------------------+----+-------+
|  2 | petya    | Cleartext-Password | := | petya |
+----+----------+--------------------+----+-------+
1 row in set (0.00 sec)

 

Однако результат тот же:

 

http://pastebin.com/7Lynz0rG

Turbid

Turbid

Posted
  • Author
Posted

Результат то же, потому что надо читать RFC:

http://tools.ietf.org/html/rfc4017 - оригинал

http://www.interlinknetworks.com/app_notes/eap-peap.htm - с картинками

 

прочитал, но ясности не дало где именно проблема в моем случае.

 

если вас не затруднит - подтолкните в нужном направлении.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.