Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > L'unico problema è che non posso ad interrogare ldap né in SSL né in > TLS: che sia questo il problema? Beh, si... prima di tutto prova un bel 'ldapsearch' a manina per vedere se funziona... Poi, un bel: TLS_REQCERT never in /etc/ldap/ldap.conf e passa la paura. (meglio sarebbe caricae il certificato della CA in uso...) -- Io chiedo quando sara` che l'uomo potra` imparare a vivere senza ammazzare e il vento si posera`(F. Guccini)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 29/02/2016 alle 14:35: > Mandi! Piviul > In chel di` si favelave... > >> se qualcuno ha qualche idea... > > ...sicuro di usare cn/posixGroup per i gruppi? in ldap? certo: > # wlan_users, Groups, directory.nh > dn: cn=wlan_users,ou=Groups,dc=directory,dc=nh > cn: wlan_users > gidNumber: 5529 > objectClass: posixGroup > objectClass: sambaGroupMapping > sambaSID: S-1-5-21-[...]-1326 > sambaGroupType: 2 > displayName: wlan_users > memberUid: [...] > description: wlan_users L'unico problema è che non posso ad interrogare ldap né in SSL né in TLS: che sia questo il problema? Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > se qualcuno ha qualche idea... ...sicuro di usare cn/posixGroup per i gruppi? -- Il mondo del calcio sta andando a puttane! Perché, hanno finito le letterine?(Marco Citi)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 12/02/2016 alle 14:19: >> quindi se una macchina è nel dominio già si può autenticare? Molto >> interessante, non sapevo nemmeno fosse possibile... > > Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un > po' meglio... grazie al tuo aiuto sono riuscito a configurare il server freeradius per l'autenticazione degli utenti tramite winbind. Ora stavo cercando di utilizzare i tuoi consigli per permettere l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata tramite ldap. Ho quindi installato freeradius-ldap, configurato il modulo ldap: > root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap > ldap { > server = "servercsa.csaricerche.com" > basedn = "dc=directory,dc=nh" > base_filter = > "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))" > filter = "(uid=%{tolower:%{mschap:User-Name}})" > ldap_connections_number = 5 > max_uses = 0 > timeout = 4 > timelimit = 3 > net_timeout = 1 > tls { > start_tls = no > } > dictionary_mapping = ${confdir}/ldap.attrmap > edir_account_policy_check = no > groupname_attribute = cn > groupmembership_filter = > "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))" >set_auth_type = no > keepalive { > idle = 60 > probes = 3 > interval = 3 > } > } Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella sezione authorize ma non authenticate ed infine nel file users ho aggiunto > DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn" > DEFAULT Service-Type == Framed-User, Auth-Type := Reject > Reply-Message = "Gruppo non autorizzato" Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn. Nei log di freeradius relativamente ad ldap compare soltanto: > [ldap] performing user authorization for psala > [ldap]expand: %{mschap:User-Name} -> psala > [ldap]expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala) > [ldap]expand: dc=directory,dc=nh -> dc=directory,dc=nh > [ldap] ldap_get_conn: Checking Id: 0 > [ldap] ldap_get_conn: Got Id: 0 > [ldap] attempting LDAP reconnection > [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0 > [ldap] bind as / to servercsa.csaricerche.com:389 > [ldap] waiting for bind result ... > [ldap] Bind was successful > [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala) > [ldap] No default NMAS login sequence > [ldap] looking for check items in directory... > [ldap] looking for reply items in directory... > WARNING: No "known good" password was found in LDAP. Are you sure that the > user is configured correctly? > [ldap] ldap_release_conn: Release Id: 0 > ++[ldap] = ok mentre speravo comparisse qualcosa riguardo agli Ldap-Group... se qualcuno ha qualche idea... Mille grazie Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > con schema di autenticazione intendi i protocolli di autenticazione tipo > EAP, PEAP MSCHAP...? Si. Anche se MSCHAP è solo un (sotto)schema di autenticazione, e non un vero e proprio protocollo. PEAP usa MSCHAP(v2) per l'autenticazione, internamente, insomma. > WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o > ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che > sia possibile configurare PEAP con il pacchetto fornito da debian) ma > hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? Nono, da tempo immemore i binari standard debian funzionano, qualche baco a parte. Uso winbind, ma solo perchè ho appoggito le scadenze della password su samba... > quindi se una macchina è nel dominio già si può autenticare? Molto > interessante, non sapevo nemmeno fosse possibile... Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un po' meglio... -- ...buffoni che campate di versi senza forza avrete soldi e gloria, ma non avete scorza; (F. Guccini)
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > Come vedete sono molto confuso e ogni suggerimento è ben accetto. L'argomento è complesso, e non ho trovato una fonte di documentazione decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. In generale il problema è sempre quello: lo schema di autenticazione deve essere compatibile con il metodo di memorizzazione delle tue password, oppure la password deve girare in chiaro. Io lo uso con PEAP, associato a samba/winbind. Funziona anche l'autenticazione con machine account. -- Le parti si impegnano [...] ad astenersi nelle relazioni internazionali dalla minaccia o dall'uso della forza in ogni modo in contrasto con gli scopi delle Nazioni Unite.(art.1 Trattato NATO)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 10/02/2016 alle 21:41: > L'argomento è complesso, e non ho trovato una fonte di documentazione > decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la > lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. > > In generale il problema è sempre quello: lo schema di autenticazione deve > essere compatibile con il metodo di memorizzazione delle tue password, > oppure la password deve girare in chiaro. con schema di autenticazione intendi i protocolli di autenticazione tipo EAP, PEAP MSCHAP...? > Io lo uso con PEAP, associato a samba/winbind. WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che sia possibile configurare PEAP con il pacchetto fornito da debian) ma hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? > Funziona anche l'autenticazione con machine account. quindi se una macchina è nel dominio già si può autenticare? Molto interessante, non sapevo nemmeno fosse possibile... Mille grazie Piviul