[Commentaires TUTO] Hostapd+Freeradius+LDAP

Bonjour,

Cela 2-3 jours que je me battais avec Freeradius+LDAP+Hostapd sur une Debian Etch 4.0rc3...
Installant les paquets officiels versions 1.1.3, lorsque au détours d'un n-ième message d'erreur de freeradius, un topic indique que Freeradius+LDAP ne peut pas fonctionner sur une Debian, car le module rlm_eap_tls n'est pas fournit ! Or il est indispensable lors de la négociation entre la borne wifi et le client !
http://readlist.com/lists/lists.fr [...] /8097.html
http://www.generation-nt.com/freer [...] 70061.html
etc...

Bref... Je me décide à prendre les sources et de le compiler ! De l'installer... Aille !
Les fichiers de configurations ont changés... Il faut que je reconfigure tout !

Après une heure de tests... Bingo !

Alors voilà surtout où je voulais en venir !
Je suis en train de faire des tutos....
Samba +LDAP
Borne d'accès Wifi
...

J'ai donc commencé un tuto : http://www.infos-du-net.com/forum/ [...] adius-ldap

To be continued...

Captures d'écrans des connexions clientes :
Linux (Debian Etch avec Knetworkmanager) :



Windows XP familiale : Configuration







Sous XP à la première tentative, celui-ci devrait vous proposer cette boite de dialogue :


Malheureusement il ne la propose pas automatiquement et des fois si !?
J'essaye de voir si il n'y a pas quelque chose à faire pour arranger cette situation !

évite la pub pour ton site
je préfère que tu fasses un gros copié collé, que je me ferai un plaisir de ranger dans les tutos d'idn

sinon j'ai répondu à ton mp

Le titre de ce sujet a été édité par Maith

Salut,

J'ai tenté par ailleurs d'activer l'accounting (joli mot pour parler de la comptabilité des sessions et des volumes de données). Malheureusement, pas d'accounting réussi.
Il semblerait que hostap et freeradius soient fâchés actuellement...

Malgré le fait d'avoir suivit les tutos de Freeradius Wiki et Freeradius mailing list, même en SQL complet, pas d'accounting ! (en repartant de zéro)

J'ai réalisé une petite interface web de visualisation "comptable" de radius :

J'éssaye, mais les idées me trottent et hop cela me réveille !

Je le ferais !

réouvert

Bonjour,

j'essaie de suivre votre tuto pour mettre en place une authentification nomade.

Après avoir configurer les différents fichiers de conf, quand je lance mon serveur radius voici les erreurs :

/usr/etc/raddb/modules/ldap[29]: Failed to link to module 'rlm_ldap': rlm_ldap.so: cannot open shared object file: No such file or directory

/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to find module "ldap".
/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to parse "ldap" entry.
}
}
Errors initializing modules


je me suis renseigner sur le module rlm_ldap et apparemment il faudrait faire un gros copier coller dans radius.conf.

Enfin bref je suis un peu perdu.
Merci de réponse

Cela indique que le module ldap de freeradius n'est pas ou mal compilé !
Vérifies si tu compiles freeradius que libldap2-dev soit bien installé !

Es tu sous Ubuntu ?
Parce que sous Ubuntu la gestion OpenLDAP est un peu différente !

Question cucul !
Tu as bien relancé LDAP ?

PS : J'avais effectivement oublié de le noter...
Je viens de l'ajouter. N'empèche qu'au démarrage machine, c'est pris en compte !

As tu bien mis dans slapd.conf : include /etc/ldap/schema/freeradius.schema ?

dialipAccess: yes
dialupAccess: yes

Et manque une classe d'objet (radiusObjectProfile) si le compte n'est que pour radius !

un peu comme :

si c'est une erreur PHP, il faut installer et activer le module php mysql (php5-mysql pour php5)
si c'est une erreur freeradius, freeradius-mysql doit être installé et activé

Je vient d'install libmysqlclient15-dev et freeradius-mysql, puis j'ai ré install mon serveur radius totalement (au cas ou les packets doivent être install au préalable).

Et au final j'ai toujours la même erreur ^^.

maith tu parle d'activer freeradius_mysql, pourrais tu en dire plus ? je n'arrive pas à trouver le module.

Autrement j'ai remarque qu'il y a un fichier sql.conf, mais es qu'il faut le config, ou le laisser tel quel ?

merci

Oui tout à fait, je l'ai recompilé.

J'ai fait un

./configure --prefix=/usr --libdir=/usr/lib --with-experimental-modules
make
make install


mais le fichier sql.conf n a pas besoin d'être configuré ?

Bonjour à tous,

c'est bon j'ai trouvé mon erreur. (très très bidon)

Enfait, après avoir recompiler, il fallait décommenter la ligne 664 de radius.conf :

$INCLUDE sql.conf


@ la prochaine pour de nouvelles aventures

Le clients.conf doit effectivement contenir les IP des différents NAS (network access secure) comme les switch, borne.... exemple fictif

etc...

bon travail et bonne présentation de projet

pour le tuto, faites nous ça propre + un petit MP à un modo ou admin afin qu'on le rajoute dans la liste

Bonjour,

j'ai essayé de mettre ce tuto en place sous debian lenny. Mais je n'arrive pas à me connecter au serveur radius lorsque mes mot de passe ldp sont crypté voici le log d'erreur si quelqu'un peu m'aider.

Coté client:

Sending Access-Request of id 6 to 127.0.0.1 port 1812
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=6, length=20


Coté serveur:

Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 38640, id=6, length=60
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "spacecop", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns updated
++[files] returns noop
[ldap] performing user authorization for spacecop
[ldap] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details
[ldap] expand: (&(uid=%{Stripped-User-Name:-%{User-Name}})(dialupAccess=yes)) -> (&(uid=spacecop)(dialupAccess=yes))
[ldap] expand: dc=sa2l,dc=com -> dc=sa2l,dc=com
rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: attempting LDAP reconnection
rlm_ldap: (re)connect to localhost:389, authentication 0
rlm_ldap: bind as cn=admin,dc=sa2l,dc=com/projetsa2l to localhost:389
rlm_ldap: waiting for bind result ...
rlm_ldap: Bind was successful
rlm_ldap: performing search in dc=sa2l,dc=com, with filter (&(uid=spacecop)(dialupAccess=yes))
[ldap] checking if remote access for spacecop is allowed by dialupAccess
[ldap] Added User-Password = {MD5}9x2+UmKKP4OnerSUgXUlxg== in check items
[ldap] looking for check items in directory...
rlm_ldap: sambaNtPassword -> NT-Password == 0x4642424635354430454630453334443339353933463535433546324341354632
rlm_ldap: sambaLmPassword -> LM-Password == 0x4241433134443034363639454531443141414433423433354235313430344545
[ldap] looking for reply items in directory...
[ldap] user spacecop authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
++[pap] returns updated
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "toto"
[pap] Using CRYPT encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
Login incorrect (rlm_pap: CRYPT password check failed): [spacecop/toto] (from client localhost port 1812)
Using Post-Auth-Type Reject
+- entering group REJECT {...}


Merci de votre aide.

Je ne comprend pas le problème, dois je obligatoirement mettre mes mot de passe en clair dans le ldap?

en clair ou avec chiffrement réversible

si tu as réussi avec des password chiffrés non réversible, ça m'intéresse

bonjour

j'ai mis en place un chillispot et un radius avec mysql
et de temps en temps voir souvent des fois, j'ai le mot de passe qui est refusé. apres plusieurs recherche dans les logs
j'ai vu que le mot de passe est mal décrypté


voici les logs de freeradius :
freeradius[1136]: Login OK: [aels/sowz] (from client localhost port 11 cli 00-00-00-00-00-00)
freeradius[1136]: Login incorrect: [tdhz/\245#_\237\265\r\274Y\013\376E\271\360\362\2006] (from client localhost port 6 cli 00-00-00-00-00-00)


la 1er ligne quand ca se passe bien, la 2eme c'est quand ca se passe mal, tout les login et mot de passe sont sur 4 lettres.
j'ai essayé avec l'option $userpassword = 1 ou sans, ca ne change rien.

j'ai esssayé de tout réinstallé parreil.

je suis sur une lenny, avec apache2, mysql 5.0.51a, freeradius 2.0.4, chillispot 1.1.0 (avec compil des sources aussi).


Avez-vous une idée, ou sinon comment enlevé le cryptage du mot de passe, comme tout est sur la même machine ?


Merci