Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > L'unico problema è che non posso ad interrogare ldap né in SSL né in > TLS: che sia questo il problema? Beh, si... prima di tutto prova un bel 'ldapsearch' a manina per vedere se funziona... Poi, un bel: TLS_REQCERT never in /etc/ldap/ldap.conf e passa la paura. (meglio sarebbe caricae il certificato della CA in uso...) -- Io chiedo quando sara` che l'uomo potra` imparare a vivere senza ammazzare e il vento si posera`(F. Guccini)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 29/02/2016 alle 14:35: > Mandi! Piviul > In chel di` si favelave... > >> se qualcuno ha qualche idea... > > ...sicuro di usare cn/posixGroup per i gruppi? in ldap? certo: > # wlan_users, Groups, directory.nh > dn: cn=wlan_users,ou=Groups,dc=directory,dc=nh > cn: wlan_users > gidNumber: 5529 > objectClass: posixGroup > objectClass: sambaGroupMapping > sambaSID: S-1-5-21-[...]-1326 > sambaGroupType: 2 > displayName: wlan_users > memberUid: [...] > description: wlan_users L'unico problema è che non posso ad interrogare ldap né in SSL né in TLS: che sia questo il problema? Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > se qualcuno ha qualche idea... ...sicuro di usare cn/posixGroup per i gruppi? -- Il mondo del calcio sta andando a puttane! Perché, hanno finito le letterine?(Marco Citi)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 12/02/2016 alle 14:19:
>> quindi se una macchina è nel dominio già si può autenticare? Molto
>> interessante, non sapevo nemmeno fosse possibile...
>
> Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un
> po' meglio...
grazie al tuo aiuto sono riuscito a configurare il server freeradius per
l'autenticazione degli utenti tramite winbind.
Ora stavo cercando di utilizzare i tuoi consigli per permettere
l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata
tramite ldap.
Ho quindi installato freeradius-ldap, configurato il modulo ldap:
> root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap
> ldap {
> server = "servercsa.csaricerche.com"
> basedn = "dc=directory,dc=nh"
> base_filter =
> "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))"
> filter = "(uid=%{tolower:%{mschap:User-Name}})"
> ldap_connections_number = 5
> max_uses = 0
> timeout = 4
> timelimit = 3
> net_timeout = 1
> tls {
> start_tls = no
> }
> dictionary_mapping = ${confdir}/ldap.attrmap
> edir_account_policy_check = no
> groupname_attribute = cn
> groupmembership_filter =
> "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))"
>set_auth_type = no
> keepalive {
> idle = 60
> probes = 3
> interval = 3
> }
> }
Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella
sezione authorize ma non authenticate ed infine nel file users ho aggiunto
> DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn"
> DEFAULT Service-Type == Framed-User, Auth-Type := Reject
> Reply-Message = "Gruppo non autorizzato"
Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn.
Nei log di freeradius relativamente ad ldap compare soltanto:
> [ldap] performing user authorization for psala
> [ldap]expand: %{mschap:User-Name} -> psala
> [ldap]expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala)
> [ldap]expand: dc=directory,dc=nh -> dc=directory,dc=nh
> [ldap] ldap_get_conn: Checking Id: 0
> [ldap] ldap_get_conn: Got Id: 0
> [ldap] attempting LDAP reconnection
> [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0
> [ldap] bind as / to servercsa.csaricerche.com:389
> [ldap] waiting for bind result ...
> [ldap] Bind was successful
> [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala)
> [ldap] No default NMAS login sequence
> [ldap] looking for check items in directory...
> [ldap] looking for reply items in directory...
> WARNING: No "known good" password was found in LDAP. Are you sure that the
> user is configured correctly?
> [ldap] ldap_release_conn: Release Id: 0
> ++[ldap] = ok
mentre speravo comparisse qualcosa riguardo agli Ldap-Group...
se qualcuno ha qualche idea...
Mille grazie
Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > con schema di autenticazione intendi i protocolli di autenticazione tipo > EAP, PEAP MSCHAP...? Si. Anche se MSCHAP è solo un (sotto)schema di autenticazione, e non un vero e proprio protocollo. PEAP usa MSCHAP(v2) per l'autenticazione, internamente, insomma. > WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o > ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che > sia possibile configurare PEAP con il pacchetto fornito da debian) ma > hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? Nono, da tempo immemore i binari standard debian funzionano, qualche baco a parte. Uso winbind, ma solo perchè ho appoggito le scadenze della password su samba... > quindi se una macchina è nel dominio già si può autenticare? Molto > interessante, non sapevo nemmeno fosse possibile... Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un po' meglio... -- ...buffoni che campate di versi senza forza avrete soldi e gloria, ma non avete scorza; (F. Guccini)
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > Come vedete sono molto confuso e ogni suggerimento è ben accetto. L'argomento è complesso, e non ho trovato una fonte di documentazione decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. In generale il problema è sempre quello: lo schema di autenticazione deve essere compatibile con il metodo di memorizzazione delle tue password, oppure la password deve girare in chiaro. Io lo uso con PEAP, associato a samba/winbind. Funziona anche l'autenticazione con machine account. -- Le parti si impegnano [...] ad astenersi nelle relazioni internazionali dalla minaccia o dall'uso della forza in ogni modo in contrasto con gli scopi delle Nazioni Unite.(art.1 Trattato NATO)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 10/02/2016 alle 21:41: > L'argomento è complesso, e non ho trovato una fonte di documentazione > decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la > lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. > > In generale il problema è sempre quello: lo schema di autenticazione deve > essere compatibile con il metodo di memorizzazione delle tue password, > oppure la password deve girare in chiaro. con schema di autenticazione intendi i protocolli di autenticazione tipo EAP, PEAP MSCHAP...? > Io lo uso con PEAP, associato a samba/winbind. WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che sia possibile configurare PEAP con il pacchetto fornito da debian) ma hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? > Funziona anche l'autenticazione con machine account. quindi se una macchina è nel dominio già si può autenticare? Molto interessante, non sapevo nemmeno fosse possibile... Mille grazie Piviul
