Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > L'unico problema è che non posso ad interrogare ldap né in SSL né in > TLS: che sia questo il problema? Beh, si... prima di tutto prova un bel 'ldapsearch' a manina per vedere se funziona... Poi, un bel: TLS_REQCERT never in /etc/ldap/ldap.conf e passa la paura. (meglio sarebbe caricae il certificato della CA in uso...) -- Io chiedo quando sara` che l'uomo potra` imparare a vivere senza ammazzare e il vento si posera`(F. Guccini)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 29/02/2016 alle 14:35: > Mandi! Piviul > In chel di` si favelave... > >> se qualcuno ha qualche idea... > > ...sicuro di usare cn/posixGroup per i gruppi? in ldap? certo: > # wlan_users, Groups, directory.nh > dn: cn=wlan_users,ou=Groups,dc=directory,dc=nh > cn: wlan_users > gidNumber: 5529 > objectClass: posixGroup > objectClass: sambaGroupMapping > sambaSID: S-1-5-21-[...]-1326 > sambaGroupType: 2 > displayName: wlan_users > memberUid: [...] > description: wlan_users L'unico problema è che non posso ad interrogare ldap né in SSL né in TLS: che sia questo il problema? Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > se qualcuno ha qualche idea... ...sicuro di usare cn/posixGroup per i gruppi? -- Il mondo del calcio sta andando a puttane! Perché, hanno finito le letterine?(Marco Citi)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 12/02/2016 alle 14:19:
>> quindi se una macchina è nel dominio già si può autenticare? Molto
>> interessante, non sapevo nemmeno fosse possibile...
>
> Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un
> po' meglio...
grazie al tuo aiuto sono riuscito a configurare il server freeradius per
l'autenticazione degli utenti tramite winbind.
Ora stavo cercando di utilizzare i tuoi consigli per permettere
l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata
tramite ldap.
Ho quindi installato freeradius-ldap, configurato il modulo ldap:
> root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap
> ldap {
> server = "servercsa.csaricerche.com"
> basedn = "dc=directory,dc=nh"
> base_filter =
> "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))"
> filter = "(uid=%{tolower:%{mschap:User-Name}})"
> ldap_connections_number = 5
> max_uses = 0
> timeout = 4
> timelimit = 3
> net_timeout = 1
> tls {
> start_tls = no
> }
> dictionary_mapping = ${confdir}/ldap.attrmap
> edir_account_policy_check = no
> groupname_attribute = cn
> groupmembership_filter =
> "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))"
>set_auth_type = no
> keepalive {
> idle = 60
> probes = 3
> interval = 3
> }
> }
Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella
sezione authorize ma non authenticate ed infine nel file users ho aggiunto
> DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn"
> DEFAULT Service-Type == Framed-User, Auth-Type := Reject
> Reply-Message = "Gruppo non autorizzato"
Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn.
Nei log di freeradius relativamente ad ldap compare soltanto:
> [ldap] performing user authorization for psala
> [ldap]expand: %{mschap:User-Name} -> psala
> [ldap]expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala)
> [ldap]expand: dc=directory,dc=nh -> dc=directory,dc=nh
> [ldap] ldap_get_conn: Checking Id: 0
> [ldap] ldap_get_conn: Got Id: 0
> [ldap] attempting LDAP reconnection
> [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0
> [ldap] bind as / to servercsa.csaricerche.com:389
> [ldap] waiting for bind result ...
> [ldap] Bind was successful
> [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala)
> [ldap] No default NMAS login sequence
> [ldap] looking for check items in directory...
> [ldap] looking for reply items in directory...
> WARNING: No "known good" password was found in LDAP. Are you sure that the
> user is configured correctly?
> [ldap] ldap_release_conn: Release Id: 0
> ++[ldap] = ok
mentre speravo comparisse qualcosa riguardo agli Ldap-Group...
se qualcuno ha qualche idea...
Mille grazie
Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > con schema di autenticazione intendi i protocolli di autenticazione tipo > EAP, PEAP MSCHAP...? Si. Anche se MSCHAP è solo un (sotto)schema di autenticazione, e non un vero e proprio protocollo. PEAP usa MSCHAP(v2) per l'autenticazione, internamente, insomma. > WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o > ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che > sia possibile configurare PEAP con il pacchetto fornito da debian) ma > hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? Nono, da tempo immemore i binari standard debian funzionano, qualche baco a parte. Uso winbind, ma solo perchè ho appoggito le scadenze della password su samba... > quindi se una macchina è nel dominio già si può autenticare? Molto > interessante, non sapevo nemmeno fosse possibile... Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un po' meglio... -- ...buffoni che campate di versi senza forza avrete soldi e gloria, ma non avete scorza; (F. Guccini)
Re: hotspot freeradius
Marco Gaiarin ha scritto il 10/02/2016 alle 21:41: > L'argomento è complesso, e non ho trovato una fonte di documentazione > decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la > lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. > > In generale il problema è sempre quello: lo schema di autenticazione deve > essere compatibile con il metodo di memorizzazione delle tue password, > oppure la password deve girare in chiaro. con schema di autenticazione intendi i protocolli di autenticazione tipo EAP, PEAP MSCHAP...? > Io lo uso con PEAP, associato a samba/winbind. WOW, è proprio quello che vorrei fare io... ma autentichi con winbind o ldap? Poi non utilizzi i binari forniti con debian (non mi risulta che sia possibile configurare PEAP con il pacchetto fornito da debian) ma hai ricompilato i sorgenti presi da freeradius; e quale versione utilizzi? > Funziona anche l'autenticazione con machine account. quindi se una macchina è nel dominio già si può autenticare? Molto interessante, non sapevo nemmeno fosse possibile... Mille grazie Piviul
Re: hotspot freeradius
Mandi! Piviul In chel di` si favelave... > Come vedete sono molto confuso e ogni suggerimento è ben accetto. L'argomento è complesso, e non ho trovato una fonte di documentazione decente. Il manuale di Freeradius è un po' ostico (come l'argomento) e la lista è popolata di s.i, allenati ai pesci in faccia se ti iscrivi. In generale il problema è sempre quello: lo schema di autenticazione deve essere compatibile con il metodo di memorizzazione delle tue password, oppure la password deve girare in chiaro. Io lo uso con PEAP, associato a samba/winbind. Funziona anche l'autenticazione con machine account. -- Le parti si impegnano [...] ad astenersi nelle relazioni internazionali dalla minaccia o dall'uso della forza in ogni modo in contrasto con gli scopi delle Nazioni Unite.(art.1 Trattato NATO)
hotspot freeradius
Ciao a tutti, vorrei mettere in piedi una rete wireless con autenticazione WPA2 Enterprise su un server freeradius in modo che ogni utente possa fornire le sue credenziali di accesso alla rete per connettere sia cellulari che PC windows/linux alla rete. Al di la delle difficoltà che sicuramente incontrerò nel configurare gli utenti (mi piacerebbe autenticarli tramite winbind) mi sono già bloccato nel capire quale protocollo di autenticazione dovrei scegliere/configurare. Se vado su client windows non mi sembra di avere la possibilità di sceglierlo: si può scegliere soltanto come criptare la password (AES o TKIP) quindi quale protocollo userà? Se vado su client linux ce n'è una marea: TLS, LEAP, PWD, FAST, Tunneled TLS, Protected EAP... ma sono sigle che mi dicono poco... nella documentazione si parla di PAP, CHAP, MSCHAP... a quali corrispondono fra quelle selezionabili? Infine sui cellulari (almeno sul mio Cyanogenmod) vedo soltanto PEAP e LEAP... ma non li trovo sul server freeradius. Poi su debian freeradius mi sembra vecchio (anche su testing siamo ancora alla versione 2 mentre sul sito siamo già alla versione 3) e non vorrei compilarlo a manina... esiste un repository di riferimento con freeradius compilato per debian? Come vedete sono molto confuso e ogni suggerimento è ben accetto. Grazie Piviul
