[Commentaires TUTO] Hostapd+Freeradius+LDAP
Forum Accès Internet & Réseaux : [Commentaires TUTO] Hostapd+Freeradius+LDAP
Bonjour,
Cela 2-3 jours que je me battais avec Freeradius+LDAP+Hostapd sur une Debian Etch 4.0rc3...
Installant les paquets officiels versions 1.1.3, lorsque au détours d'un n-ième message d'erreur de freeradius, un topic indique que Freeradius+LDAP ne peut pas fonctionner sur une Debian, car le module rlm_eap_tls n'est pas fournit ! Or il est indispensable lors de la négociation entre la borne wifi et le client !
http://readlist.com/lists/lists.fr [...] /8097.html
http://www.generation-nt.com/freer [...] 70061.html
etc...
Bref... Je me décide à prendre les sources et de le compiler ! De l'installer... Aille !
Les fichiers de configurations ont changés... Il faut que je reconfigure tout !
Après une heure de tests... Bingo !
Code :
|
Alors voilà surtout où je voulais en venir !
Je suis en train de faire des tutos....
Samba +LDAP
Borne d'accès Wifi
...
J'ai donc commencé un tuto : http://www.infos-du-net.com/forum/ [...] adius-ldap
To be continued...
Captures d'écrans des connexions clientes :
Linux (Debian Etch avec Knetworkmanager) :
Windows XP familiale : Configuration
Sous XP à la première tentative, celui-ci devrait vous proposer cette boite de dialogue :
Malheureusement il ne la propose pas automatiquement et des fois si !?
J'essaye de voir si il n'y a pas quelque chose à faire pour arranger cette situation !
Message édité par lolotux le 05-10-2008 à 11:27:05
Et énervé, donc !
Tuto terminé : Pour l'essentiel.
Reste quelques captures d'écrans de configurations clients XP.
A y est !
Message édité par lolotux le 01-10-2008 à 19:47:10
Et énervé, donc !
Répondre à lolotux
évite la pub pour ton site
je préfère que tu fasses un gros copié collé, que je me ferai un plaisir de ranger dans les tutos d'idn
sinon j'ai répondu à ton mp
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
...
Message édité par lolotux le 16-10-2008 à 22:52:53
Et énervé, donc !
Répondre à lolotux
Le titre de ce sujet a été édité par Maith
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
Salut,
J'ai tenté par ailleurs d'activer l'accounting (joli mot pour parler de la comptabilité des sessions et des volumes de données). Malheureusement, pas d'accounting réussi.
Il semblerait que hostap et freeradius soient fâchés actuellement...
Malgré le fait d'avoir suivit les tutos de Freeradius Wiki et Freeradius mailing list, même en SQL complet, pas d'accounting ! (en repartant de zéro)
Message édité par lolotux le 22-10-2008 à 13:45:44
Et énervé, donc !
Répondre à lolotux
La partie accounting : OK !
* Comptabilité Radius :
Radius offre la possibilité de faire de la comptabilité (appelé accounting). En effet on peut enregistrer un certain nombre de données informatives telles que :
L'heure de connexion, l'identifiant, par quel NAS (borne), le nombre d'octets entrants/sortants, etc...
Ceci peut-être pratique si vous avez à facturer ou tout simplement compter les connexions !
Pour cela rien de plus simple(*).
1. Création d'une base de données avec les tables.
2. Modification de la configuration Radius et redémarrage de celui-ci.
Création de la base :
Création de la base de données « radius » :
# mysql -p
|
Dans le répertoire d'installation de radius et mysql, il y a un fcihier /usr/etc/raddb/sql/mysql/schema.sql, nous allons l'utiliser pour créer les tables, etc...
|
Deux tables nous intéresserons : radpostauth et radacct.
Modification de Radius :
Nous allons modifier le fichier site-enable/default
Dans la partie « accounting » : concerne la table « radacct »
Code :
|
Dans la partie « post-auth» : concerne la table « radpostauth »
Code :
|
(*) : Oui pourquoi cette étoile...
Et bien voilà, le rien de plus simple a durée 5-6 jours, en effet dans le hostapd.conf j'avais renseigné deux fois la même variable impliquant l'oublie d'une autre !
La variable renseignée deux fois était : auth_server_shared_secret
Au lieu de renseigner auth_server_shared_secret et acct_server_shared_secret !!!
Il n'y avait donc pas de valeur pour celle-ci, donc pas d' « accounting » !!!! :-/
Message édité par lolotux le 31-10-2008 à 03:22:34
Et énervé, donc !
Répondre à lolotux
J'ai réalisé une petite interface web de visualisation "comptable" de radius :
Message édité par lolotux le 02-11-2008 à 05:24:26
Et énervé, donc !
Répondre à lolotux
à 5h du mat je dors
pense à mettre à jour le tuto, ici c'est pour les commentaires ![]()
il ne te reste plus qu'à brosser ton tuto pour le mettre sur howtoforge
Message édité par maith le 02-11-2008 à 12:39:40
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
| maith a écrit : à 5h du mat je dors |
J'éssaye, mais les idées me trottent et hop cela me réveille !
| maith a écrit :
|
Je le ferais !
| maith a écrit :
|
Et énervé, donc !
Répondre à lolotux
| maith a écrit :
|
Je veux bien mais on me répond "Désolé ce sujet a été fermé..."
Et énervé, donc !
Répondre à lolotux
réouvert
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
Tu peux allé le voir, mettre tes "comment" et fermer si ok !
Et énervé, donc !
Répondre à lolotux
Bonjour,
j'essaie de suivre votre tuto pour mettre en place une authentification nomade.
Après avoir configurer les différents fichiers de conf, quand je lance mon serveur radius voici les erreurs :
/usr/etc/raddb/modules/ldap[29]: Failed to link to module 'rlm_ldap': rlm_ldap.so: cannot open shared object file: No such file or directory
/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to find module "ldap".
/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to parse "ldap" entry.
}
}
Errors initializing modules
je me suis renseigner sur le module rlm_ldap et apparemment il faudrait faire un gros copier coller dans radius.conf.
Enfin bref je suis un peu perdu.
Merci de réponse
commence par vérifier que tu as bien installé le module en question
sous debian : apt-get install freeradius-ldap
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
| ordika a écrit :
|
Cela indique que le module ldap de freeradius n'est pas ou mal compilé !
Vérifies si tu compiles freeradius que libldap2-dev soit bien installé !
Et énervé, donc !
Répondre à lolotux
merci pour t'as réponse, cela à fonctionner. J'ai installer manuellement les packet avec le gestionnaire de synoptik
Autrement j'ai un autre problème avec LDAP, et oui ça n'arrête pas
2 choses :
¤ J'ai bien importer le freeradius.schema dans LDAP, mais impossible de créer un user avec l'objectClass: radiusprofile.
Lors de mon ldapadd, je me tape une erreur ldap_add error (80) ; "no structuralObjectClass operational attribute"
Est il possible de vérifier si mon schéma a bien été pris en compte ?
voici mon ldif :
dn: cn=bob, ou=USER, o=ars, c=fr
objectClass: radiusProfile
cn: bob
gn: bob
uid: bob
userPassword: toto
ou: USER
dialipAccess: yes
¤ J'aurais besion de queqlques petites commandes
=> pour tester un utilisateur LDAP sur le serveur RADIUS,
=> pour utiliser smbldap_user add
Merci à tous
Es tu sous Ubuntu ?
Parce que sous Ubuntu la gestion OpenLDAP est un peu différente !
Et énervé, donc !
Répondre à lolotux
Sur Debian, même version que tu as utilisé pour ton toto
Question cucul !
Tu as bien relancé LDAP ?
PS : J'avais effectivement oublié de le noter...
Je viens de l'ajouter. N'empèche qu'au démarrage machine, c'est pris en compte !
As tu bien mis dans slapd.conf : include /etc/ldap/schema/freeradius.schema ?
Message édité par lolotux le 28-02-2009 à 14:41:16
Et énervé, donc !
Répondre à lolotux
Bonjour,
oui tout à fait j'ai bien placé et vérifié le freeradius.schema dans /etc/ldap/schema et bien fait le include dans le slapd.conf.
Après quelques recherches, j'en viens à penser que le problème viendrais de mon fichier ldif :
Code :
|
J'ai essayé de faire au plus simple, mais peut être que ma déclaration n'est pas au norme pour un objectClass radiusProfile :s
Es que cela vous parais correct ?
Es que qq un pourrait me passer le code d'un user fonctionnel
merci
dialipAccess: yes
dialupAccess: yes
Et manque une classe d'objet (radiusObjectProfile) si le compte n'est que pour radius !
Code :
|
un peu comme :
Code :
|
Message édité par lolotux le 10-03-2009 à 15:54:27
Et énervé, donc !
Répondre à lolotux
Merci, ça a marché nikel,
je vais pouvoir poursuivre le tuto ^^
Bonjour à tous,
me revoila avec mes petits soucis d'install.
J'essaie de mettre en place mysql avec le petit site en php.
Le soucis est quand je relance mon serveur radius, j'ai une erreur module SQL not found :s
Code :
|
L'erreur ressemblant à celle que j'ai eu avec le module ldap, j'ai bien tout réinstall en installant en amont mysql 5.0, mais en vain, toujours la même erreur :s
Merci
si c'est une erreur PHP, il faut installer et activer le module php mysql (php5-mysql pour php5)
si c'est une erreur freeradius, freeradius-mysql doit être installé et activé
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
Je pense qu'il te manque le paquet : libmysqlclient15-dev
La partie de développement de MySQL client.
# apt-get install libmysqlclient15-dev
(Bon dans le tuto je l'avait oublié, c'est ajouté, mea culpa !)
Message édité par lolotux le 02-04-2009 à 22:38:11
Et énervé, donc !
Répondre à lolotux
Je vient d'install libmysqlclient15-dev et freeradius-mysql, puis j'ai ré install mon serveur radius totalement (au cas ou les packets doivent être install au préalable).
Et au final j'ai toujours la même erreur ^^.
maith tu parle d'activer freeradius_mysql, pourrais tu en dire plus ? je n'arrive pas à trouver le module.
Autrement j'ai remarque qu'il y a un fichier sql.conf, mais es qu'il faut le config, ou le laisser tel quel ?
merci
| ordika a écrit : Je vient d'install libmysqlclient15-dev et freeradius-mysql, puis j'ai ré install mon serveur radius totalement (au cas ou les packets doivent être install au préalable).
|
As tu compilé Freeradius, ou installé par apt-get ?
D'après :
Code :
|
Me laisse penser que tu l'as compilé !
Mais si tu installes libmysqlclient15-dev, il faut le recompiler pour que Freeradius en tienne compte !
Et énervé, donc !
Répondre à lolotux
Oui tout à fait, je l'ai recompilé.
J'ai fait un
./configure --prefix=/usr --libdir=/usr/lib --with-experimental-modules
make
make install
mais le fichier sql.conf n a pas besoin d'être configuré ?
Failed to find module "sql"
N'indique pas qu'il n'arrive pas à se connecter, mais que le module ne se lance pas !
Sinon dans sql.conf : server, login, password à configurer !
Et énervé, donc !
Répondre à lolotux
Bonjour à tous,
c'est bon j'ai trouvé mon erreur. (très très bidon)
Enfait, après avoir recompiler, il fallait décommenter la ligne 664 de radius.conf :
$INCLUDE sql.conf
@ la prochaine pour de nouvelles aventures
Maintenant que mon serveur radius est au top ^^, je voudrais me servir d'une borne d'accès wifi Cisco. Dans mon interface de conf de la borne je peux renseigner l'@ du serveur radius.
De ce fait, dois-je toujours utiliser hostn.conf pour paramétrer ma borne ?
Autrement j'ai un peu fouiné dans le fichier clients.conf et doit-on y renseigné les adresses de mes différentes bornes wifi ?
Je boss sur un projet universitaire pour mettre en place un accès wifi sécurisé (avec plusieurs bornes).
Merci
Le clients.conf doit effectivement contenir les IP des différents NAS (network access secure) comme les switch, borne.... exemple fictif
client 192.168.1.1 {
|
etc...
Et énervé, donc !
Répondre à lolotux
Petit com pour vous annons réussi à mettre place notre serveur RADIUS + LDAP + Borne CISCO AP 1130AG !
Après des semaines de galère, enfin !
Merci à tous pour votre aide précieuse
PS : je pourrais publier mon tuto de fin de projet dans qq semaines
Message édité par ordika le 14-05-2009 à 19:50:48
bon travail et bonne présentation de projet
pour le tuto, faites nous ça propre + un petit MP à un modo ou admin afin qu'on le rajoute dans la liste
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
Quoi, c'est de la concurrence !
Et énervé, donc !
Répondre à lolotux
Bonjour,
j'ai essayé de mettre ce tuto en place sous debian lenny. Mais je n'arrive pas à me connecter au serveur radius lorsque mes mot de passe ldp sont crypté voici le log d'erreur si quelqu'un peu m'aider.
Coté client:
Sending Access-Request of id 6 to 127.0.0.1 port 1812
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=6, length=20
Coté serveur:
Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 38640, id=6, length=60
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "spacecop", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns updated
++[files] returns noop
[ldap] performing user authorization for spacecop
[ldap] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details
[ldap] expand: (&(uid=%{Stripped-User-Name:-%{User-Name}})(dialupAccess=yes)) -> (&(uid=spacecop)(dialupAccess=yes))
[ldap] expand: dc=sa2l,dc=com -> dc=sa2l,dc=com
rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: attempting LDAP reconnection
rlm_ldap: (re)connect to localhost:389, authentication 0
rlm_ldap: bind as cn=admin,dc=sa2l,dc=com/projetsa2l to localhost:389
rlm_ldap: waiting for bind result ...
rlm_ldap: Bind was successful
rlm_ldap: performing search in dc=sa2l,dc=com, with filter (&(uid=spacecop)(dialupAccess=yes))
[ldap] checking if remote access for spacecop is allowed by dialupAccess
[ldap] Added User-Password = {MD5}9x2+UmKKP4OnerSUgXUlxg== in check items
[ldap] looking for check items in directory...
rlm_ldap: sambaNtPassword -> NT-Password == 0x4642424635354430454630453334443339353933463535433546324341354632
rlm_ldap: sambaLmPassword -> LM-Password == 0x4241433134443034363639454531443141414433423433354235313430344545
[ldap] looking for reply items in directory...
[ldap] user spacecop authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
++[pap] returns updated
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "toto"
[pap] Using CRYPT encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
Login incorrect (rlm_pap: CRYPT password check failed): [spacecop/toto] (from client localhost port 1812)
Using Post-Auth-Type Reject
+- entering group REJECT {...}
Merci de votre aide.
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "toto"
[pap] Using CRYPT encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
Login incorrect (rlm_pap: CRYPT password check failed): [spacecop/toto] (from client localhost port 1812)
Using Post-Auth-Type Reject
+- entering group REJECT {...}
Et énervé, donc !
Répondre à lolotux
Je ne comprend pas le problème, dois je obligatoirement mettre mes mot de passe en clair dans le ldap?
Merci pour ton aide lolotux, problème résolu.
en clair ou avec chiffrement réversible
si tu as réussi avec des password chiffrés non réversible, ça m'intéresse
Editer vos titres (pas de titre en majuscule, [RESOLU] quand c'est le cas)
Tutos IDN
Répondre à maith
Bonsoir,
j'ai juste commenté cette ligne dans modules/ldap:
password_attribute = userPassword
cela a résolu le problème. Mes mots de passe sont toujours chiffré et cela fonctionne.
bonjour
j'ai mis en place un chillispot et un radius avec mysql
et de temps en temps voir souvent des fois, j'ai le mot de passe qui est refusé. apres plusieurs recherche dans les logs
j'ai vu que le mot de passe est mal décrypté
voici les logs de freeradius :
freeradius[1136]: Login OK: [aels/sowz] (from client localhost port 11 cli 00-00-00-00-00-00)
freeradius[1136]: Login incorrect: [tdhz/\245#_\237\265\r\274Y\013\376E\271\360\362\2006] (from client localhost port 6 cli 00-00-00-00-00-00)
la 1er ligne quand ca se passe bien, la 2eme c'est quand ca se passe mal, tout les login et mot de passe sont sur 4 lettres.
j'ai essayé avec l'option $userpassword = 1 ou sans, ca ne change rien.
j'ai esssayé de tout réinstallé parreil.
je suis sur une lenny, avec apache2, mysql 5.0.51a, freeradius 2.0.4, chillispot 1.1.0 (avec compil des sources aussi).
Avez-vous une idée, ou sinon comment enlevé le cryptage du mot de passe, comme tout est sur la même machine ?
Merci
Il y a 1663 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
