Аndersen Опубликовано 28 февраля, 2014 · Жалоба Linux CentOS, установил freeradius из репозитория. Запустил, меняю на маршрутизаторе радиус сервер на новый. Конечно же не работает ничего же не заведено еще, в логах: Fri Feb 28 08:49:36 2014 : Info: Signalled to terminate Fri Feb 28 08:49:36 2014 : Info: Exiting normally. Fri Feb 28 09:16:34 2014 : Info: Loaded virtual server <default> Fri Feb 28 09:16:34 2014 : Info: Loaded virtual server inner-tunnel Fri Feb 28 09:16:34 2014 : Info: ... adding new socket proxy address * port 57511 Fri Feb 28 09:16:34 2014 : Info: Ready to process requests. Fri Feb 28 09:18:14 2014 : Error: Ignoring request to authentication address * port 1812 from unknown client 192.168.10.112 port 1645 Fri Feb 28 09:18:17 2014 : Error: Ignoring request to accounting address * port 1813 from unknown client 192.168.10.112 port 1646 Завожу клиента, но не завожу юзера, теперь в логах: Fri Feb 28 09:22:55 2014 : Info: Signalled to terminate Fri Feb 28 09:22:55 2014 : Info: Exiting normally. Fri Feb 28 09:22:55 2014 : Info: Loaded virtual server <default> Fri Feb 28 09:22:55 2014 : Info: Loaded virtual server inner-tunnel Fri Feb 28 09:22:55 2014 : Info: ... adding new socket proxy address * port 51690 Fri Feb 28 09:22:55 2014 : Info: Ready to process requests. Fri Feb 28 09:23:31 2014 : Error: rlm_radutmp: Logout for NAS Office-C2821 port 0, but no Login record Теперь завожу юзера, в логах вроде бы никаких ошибок нет: Fri Feb 28 09:32:30 2014 : Info: Signalled to terminate Fri Feb 28 09:32:30 2014 : Info: Exiting normally. Fri Feb 28 09:32:30 2014 : Info: Loaded virtual server <default> Fri Feb 28 09:32:30 2014 : Info: Loaded virtual server inner-tunnel Fri Feb 28 09:32:30 2014 : Info: ... adding new socket proxy address * port 58713 Fri Feb 28 09:32:30 2014 : Info: Ready to process requests. Но клиент не подключается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Painter Опубликовано 28 февраля, 2014 · Жалоба Временно запускайте freeradius в отладочном режиме c ключом -X из консоли, а не в режиме демона. Будет что-то типа " service freeradius stop", а потом "freeradius -X" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Аndersen Опубликовано 28 февраля, 2014 · Жалоба Временно запускайте freeradius в отладочном режиме c ключом -X из консоли, а не в режиме демона. Будет что-то типа " service freeradius stop", а потом "freeradius -X" Все так и сделал, помогите с выводом разобраться: rad_recv: Access-Request packet from host 192.168.24.128 port 1645, id=184, length=86 Framed-Protocol = PPP User-Name = "gks5" CHAP-Password = 0x0136b19b618e79effc8aa576004ee77f63 NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/853" Service-Type = Framed-User NAS-IP-Address = 192.168.24.128 # Executing section authorize from file /etc/raddb/sites-enabled/default +- entering group authorize {...} ++[preprocess] returns ok [chap] Setting 'Auth-Type := CHAP' ++[chap] returns ok ++[mschap] returns noop [suffix] No '@' in User-Name = "gks5", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] returns noop [eap] No EAP-Message, not doing EAP ++[eap] returns noop ++[unix] returns notfound [files] users: Matched entry DEFAULT at line 172 ++[files] returns ok ++[expiration] returns noop ++[logintime] returns noop [pap] WARNING! No "known good" password found for the user. Authentication may fail because of this. ++[pap] returns noop Found Auth-Type = CHAP # Executing group from file /etc/raddb/sites-enabled/default +- entering group CHAP {...} [chap] login attempt by "gks5" with CHAP password [chap] Cleartext-Password is required for authentication ++[chap] returns invalid Failed to authenticate the user. Using Post-Auth-Type Reject # Executing group from file /etc/raddb/sites-enabled/default +- entering group REJECT {...} [attr_filter.access_reject] expand: %{User-Name} -> gks5 attr_filter: Matched entry DEFAULT at line 11 ++[attr_filter.access_reject] returns updated Delaying reject of request 2 for 1 seconds Going to the next request Waking up in 0.9 seconds. Sending delayed reject for request 2 Sending Access-Reject of id 184 to 192.168.24.128 port 1645 Waking up in 1.4 seconds. Cleaning up request 1 ID 183 with timestamp +34 Waking up in 3.5 seconds. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 февраля, 2014 · Жалоба Лог четко говорит, найден такой юзер, но не найден для него аттрибут Cleartext-Password. В radcheck добавляли пароль в password, а не Cleartext-Password небось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Аndersen Опубликовано 1 марта, 2014 (изменено) · Жалоба Лог четко говорит, найден такой юзер, но не найден для него аттрибут Cleartext-Password. В radcheck добавляли пароль в password, а не Cleartext-Password небось? В radcheck я ничего не добавлял, это я так понимаю таблица в MySQL. Дело вообще в чем, у нас есть радиус сервер, он вполне себе работает, но сервер этот очень старый, поднимался и настраивался неизвестно когда, и его нужно выключать и демонтировать, он один из немногих оставшихся физических серверов, все уже давно на виртуалках. Так вот там радиус работает без MySQL я хочу так же без "мускула" сделать. Мне не нужен биллинг, не нужно считать, не нужно что бы пользователь отключался при отрицательном балансе и тд. В файле /etc/raddb/users я завел юзера вот в таком виде: gks5 Auth-Type := Local, Cleartext-Password := "xxxxxxx" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.xx.xx, cisco-avpair = "lcp:interface-config=ip vrf forwarding gks\nip unnumbered Loopback100", cisco-avpair += "ip:route=vrf gks 10.32.xx.xx 255.255.255.224 172.16.xx.xx" Может тут что не так? Изменено 1 марта, 2014 пользователем Аndersen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 1 марта, 2014 · Жалоба Надо отключить chap авторизацию и включить files. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Аndersen Опубликовано 3 марта, 2014 (изменено) · Жалоба Надо отключить chap авторизацию и включить files. rad_recv: Access-Request packet from host 192.168.24.128 port 1645, id=220, length=86 Framed-Protocol = PPP User-Name = "gks5" CHAP-Password = 0x01ad114f57f72d9dfdc44686221aead629 NAS-Port-Type = Virtual NAS-Port = 0 NAS-Port-Id = "0/0/0/853" Service-Type = Framed-User NAS-IP-Address = 192.168.24.128 # Executing section authorize from file /etc/freeradius/sites-enabled/default +- entering group authorize {...} ++[preprocess] returns ok [suffix] No '@' in User-Name = "gks5", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] returns noop [eap] No EAP-Message, not doing EAP ++[eap] returns noop ++[unix] returns notfound [files] users: Matched entry DEFAULT at line 172 ++[files] returns ok ++[expiration] returns noop ++[logintime] returns noop [pap] WARNING! No "known good" password found for the user. Authentication may fail because of this. ++[pap] returns noop ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user Failed to authenticate the user. Using Post-Auth-Type Reject WARNING: Unknown value specified for Post-Auth-Type. Cannot perform requested action. # Executing group from file /etc/freeradius/sites-enabled/default Delaying reject of request 0 for 1 seconds Going to the next request Waking up in 0.9 seconds. На сервере переуснатовил ОС, теперь Debian Тест показывает что все нормально: root@tacacs:/etc/freeradius# radtest gks5 xxxxxx 127.0.0.1 0 testing123 Sending Access-Request of id 43 to 127.0.0.1 port 1812 User-Name = "gks5" User-Password = "xxxxxx" NAS-IP-Address = 127.0.0.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=43, length=182 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 172.16.xx.xx Cisco-AVPair = "lcp:interface-config=ip vrf forwarding gks\nip unnumbered Loopback100" Cisco-AVPair = "ip:route=vrf gks 10.32.xx.xx 255.255.255.224 172.16.xx.xx" Изменено 3 марта, 2014 пользователем Аndersen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...