Re: freeradius-dialupadmin -- debian9
De mémoire, Dialup Admin fonctionne avec la version 2 de Freeradius. Depuis Stretch, Freeradius est en version 3 dans les dépôts Le jeu. 29 août 2019 à 11:06, SISSOKHO Adama a écrit : > Bonjour, > > Je n'arrive pas à installer *freeradius-dialupadmin *sur* debian9*. > Existe-t-il un substitut ou un moyen spécial d'effectuer l'installation? > Merci d'avance pour votre aide. > > Salutations >
Re: freeradius-dialupadmin -- debian9
Merci de ne pas m’écrire en direct, je suis abonné à la liste. Le jeudi 29 août 2019 à 12:32, Bernard Schoenacker a écrit : > voici les alternatives : > > https://alternativeto.net/software/freeradius/ Attention, ce n’est pas FreeRADIUS qui n’est plus maintenu, c’est le module Dialup admin. Sébastien
Re: freeradius-dialupadmin -- debian9
- Mail original - > De: "Sébastien NOBILI" > À: debian-user-french@lists.debian.org > Envoyé: Jeudi 29 Août 2019 11:28:57 > Objet: Re: freeradius-dialupadmin -- debian9 > > Bonjour, > > Le jeudi 29 août 2019 à 10:48, SISSOKHO Adama a écrit : > > Ça me semble normal, et indépendant de Debian : > > The software is currently unmaintained, might not work using more > recent PHP > versions, and possibly has some security issues. Using this > software is > deprecated. > > https://wiki.freeradius.org/guide/Dialup-admin > > Il faudrait plutôt demander sur une liste Freeradius quelles sont les > alternatives supportées. > > Sébastien > bonjour, voici les alternatives : https://alternativeto.net/software/freeradius/ merci pour votre aimable attention bien à vous bernard
Re: freeradius-dialupadmin -- debian9
Bonjour, Le jeudi 29 août 2019 à 10:48, SISSOKHO Adama a écrit : > Je n'arrive pas à installer *freeradius-dialupadmin *sur* debian9*. > Existe-t-il un substitut ou un moyen spécial d'effectuer l'installation? > Merci d'avance pour votre aide. Ça me semble normal, et indépendant de Debian : The software is currently unmaintained, might not work using more recent PHP versions, and possibly has some security issues. Using this software is deprecated. https://wiki.freeradius.org/guide/Dialup-admin Il faudrait plutôt demander sur une liste Freeradius quelles sont les alternatives supportées. Sébastien
Re: Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?
Bonjour, En consultant d'autres listes, j'ai collecté des conseils qu'il me parait intéressant de partager ici. Pour faire simple, si j'ai bien compris, des personnes conseillent de traiter les connexions aux réseaux WiFi sécurisés de la façon suivante: - l'utilisateur importe sur sa machine un certificat plus ou moins caché dans un paquet cadeau bien présenté, - l'utilisateur se connecte ensuite au réseau WiFi sécurisé en désignant simplement le nom du réseau WiFi. À aucun moment, l'utilisateur ne saisit véritablement les paramètres "techniques" de connexion: ils sont livrés avec le certificat. Ce processus rappelle celui des fichiers .mobileconfig du monde Apple. Le site https://cat.eduroam.org/ présente un installeur multi-plateforme pour confectionner ces paquets cadeau. On parle d'Onboarding (cf [1]) [1] https://www.ruckuswireless.com/solutions/secure-onboarding. Slts Le ven. 7 sept. 2018 à 14:29, Olivier a écrit : > Bonjour, > > J'ai compris que pour faciliter la connexion de PC sous Windows à un > réseau WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels, > un "certificat serveur" (cf [1]). > > Sous la forme d'un simple fichier dans un format connu, les utilisateurs > potentiels ajoutent ce certificat sur leur appareil. > > Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau > WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe. > > 1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ? > 2. Est-il bien exact que ce fichier fait partie de la configuration de la > base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ? > > Slts > > [1] https://wiki.freeradius.org/protocol/EAP-PEAP >
Re: Freeradius ne re-démarre pas [RESOLU]
Le 22 juin 2016 à 16:42, François TOURDEa écrit : > Salut, > > Le 16974ième jour après Epoch, > Olivier écrivait: > > > Quand je re-démarre freeradius par "systemctl restart freeradius" ou > > "systemctl stop freeradius; systemctl start freeradius", j'observe dans > les > > logs: > > > > juin 22 15:50:39 foobar freeradius[2977]: radiusd: Opening IP > > addresses and Ports > > juin 22 15:50:39 foobar freeradius[2977]: listen { > > juin 22 15:50:39 foobar freeradius[2977]: type = "auth" > > juin 22 15:50:39 foobar freeradius[2977]: ipaddr = * > > juin 22 15:50:39 foobar freeradius[2977]: port = 0 > > juin 22 15:50:39 foobar freeradius[2977]: Failed binding to > authentication > > address * port 1812: Address already in use > > juin 22 15:50:39 foobar freeradius[2977]: > > /etc/freeradius/radiusd.conf[273]: Error binding to port for 0.0.0.0 port > > 1812 > > juin 22 15:50:39 foobar freeradius[2977]: failed > > Tu as essayé de faire un stop, d'attendre que éventuellement le > processus soit bien arrêté, puis de faire un start? > > Ça ressemble à un process pas encore fini, ça. > > > Pourtant, j'ai: > > # netstat -a | grep 1812 > > udp0 0 localhost:18120 0.0.0.0:* > > # netstat -a | grep radius > > udp0 0 0.0.0.0:radius 0.0.0.0:* > > > > udp0 0 0.0.0.0:radius-acct 0.0.0.0:* > > > > Dans ce qui précède, j'imagine que radius=1812 et radius-acct=1813. > > Oui, tu peux vérifier par la commande: > > grep radius /etc/services > > J'avais laissé la ligne FREERADIUS_OPTIONS="-X" dans mon fichier /etc/default/freeradius. En la supprimant, freeradius re-démarre normalement. Je trouve ce comportement surprenant (pourquoi le mode debug devrait-il laisser tourner des processus ? faut-il donc rebooter pour arrêter freeradius en mode debug ?). La commande "man freeradius" ne mentionne pas cet effet de bord. Qu'en pensez-vous ? Slts
Re: Freeradius ne re-démarre pas
Salut, Le 16974ième jour après Epoch, Olivier écrivait: > Quand je re-démarre freeradius par "systemctl restart freeradius" ou > "systemctl stop freeradius; systemctl start freeradius", j'observe dans les > logs: > > juin 22 15:50:39 foobar freeradius[2977]: radiusd: Opening IP > addresses and Ports > juin 22 15:50:39 foobar freeradius[2977]: listen { > juin 22 15:50:39 foobar freeradius[2977]: type = "auth" > juin 22 15:50:39 foobar freeradius[2977]: ipaddr = * > juin 22 15:50:39 foobar freeradius[2977]: port = 0 > juin 22 15:50:39 foobar freeradius[2977]: Failed binding to authentication > address * port 1812: Address already in use > juin 22 15:50:39 foobar freeradius[2977]: > /etc/freeradius/radiusd.conf[273]: Error binding to port for 0.0.0.0 port > 1812 > juin 22 15:50:39 foobar freeradius[2977]: failed Tu as essayé de faire un stop, d'attendre que éventuellement le processus soit bien arrêté, puis de faire un start? Ça ressemble à un process pas encore fini, ça. > Pourtant, j'ai: > # netstat -a | grep 1812 > udp0 0 localhost:18120 0.0.0.0:* > # netstat -a | grep radius > udp0 0 0.0.0.0:radius 0.0.0.0:* > > udp0 0 0.0.0.0:radius-acct 0.0.0.0:* > > Dans ce qui précède, j'imagine que radius=1812 et radius-acct=1813. Oui, tu peux vérifier par la commande: grep radius /etc/services
Re: Freeradius 2
Le 08/08/11 10:47, Mikael ZIELINSKI a écrit : Bonjour, J'ai installé Debian Squeeze et j'aimerai installer Freeradius2. Cependant au niveau de TLS je me pose les question suivantes : Le TLS est-il supporté de base dans les paquets Freeradius2 depuis Debian6 ou simplement dans les sources ? Je te confirme que le TLS est présent et fonctionnel dans les paquets squeeze de freeradius. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e3fb442.2000...@toniob.net
Re: Freeradius 2
Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ? Le 8 août 2011 12:02, Anthony Bourguignon debian+lists.user-fre...@toniob.net a écrit : Le 08/08/11 10:47, Mikael ZIELINSKI a écrit : Bonjour, J'ai installé Debian Squeeze et j'aimerai installer Freeradius2. Cependant au niveau de TLS je me pose les question suivantes : Le TLS est-il supporté de base dans les paquets Freeradius2 depuis Debian6 ou simplement dans les sources ? Je te confirme que le TLS est présent et fonctionnel dans les paquets squeeze de freeradius.
Re: Freeradius 2
Le 08/08/11 12:29, Mikael ZIELINSKI a écrit : Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ? À priori oui. De mon côté, EAP/TTLS fonctionne donc PEAP devrait être ok aussi. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e3fcaef.3090...@toniob.net
Re: Freeradius 2
Merci beaucoup Le 8 août 2011 13:39, Anthony Bourguignon debian+lists.user-fre...@toniob.net a écrit : Le 08/08/11 12:29, Mikael ZIELINSKI a écrit : Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ? À priori oui. De mon côté, EAP/TTLS fonctionne donc PEAP devrait être ok aussi.
Re: freeradius + sqlippool
Le 14670ième jour après Epoch, Tahar BEN ACHOUR écrivait: IP Allocation FAILED from test_pool (did cli port 1812 user tahar) [...] je n'ai pas bien compris ce que ça veut dire sachant que ma table est remplie d'adresses correspondant aux deux Pool-Name que je suis en train de tester. Voici le contenu des tables [...] | 1 | main_pool | 192.168.100.10 | | | [...] ++---+---++---+ | 1 | static| Pool-Name | := | main_pool | ++---+---++---+ Le détail de tes tables ne montre que main_pool, et la requête semble avoir lieu sur test_pool. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87vdde6fg1@fermat.tourde.home
Re : freeradius + sqlippool
Le détail de tes tables ne montre que main_pool, et la requête semble avoir lieu sur test_pool. En effet désolé, l'utiisateur que j'ai utilisé fait partie du group dynamic qui lui est rattaché à la pool test_pool mysql select * from radusergroup; +--+---+--+ | username | groupname | priority | +--+---+--+ | tahar| dynamic |1 | | tba | static|1 | +--+---+--+ 2 rows in set (0.00 sec) mysql select * from radgroupcheck; ++---+---++---+ | id | groupname | attribute | op | value | ++---+---++---+ | 1 | static| Pool-Name | := | main_pool | | 2 | dynamic | Pool-Name | := | test_pool | ++---+---++---+ rlm_sql (sql): Released sql socket id: 0 [sqlippool] pool appears to be full [sqlippool] expand: IP Allocation FAILED from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) - IP Allocation FAILED from test_pool (did cli port 1812 user tahar) IP Allocation FAILED from test_pool (did cli port 1812 user tahar) ++[sqlippool] returns notfound ++[exec] returns noop Je ne comprends pas ce qu'il veut dire par pool appears to be full et je ne comprends pas comment lier le NAS (j'ai laissé la table vide) à la pool d'ip si c'est obligatoire ou non je n'ai pas trouvé de doc qui l'explique assez bien non plus malheureusement -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/857495.4076...@web26301.mail.ukl.yahoo.com
Re : Re : freeradius + sqlippool (comlément d'in fo)
J'ai d'autre messages dans mon debug apparemment il n'arrive pas du tout à voir la pool dès le début et je ne comprends pas où j'ai foiré ma config l WHERE nasipaddress = '%{Nas-IP-Address}' off-commit = COMMIT off-rollback = ROLLBACK sqlippool_log_exists = Existing IP: %{reply:Framed-IP-Address} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) sqlippool_log_success = Allocated IP: %{reply:Framed-IP-Address} from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) sqlippool_log_clear = Released IP %{Framed-IP-Address} (did %{Called-Station-Id} cli %{Calling-Station-Id} user %{User-Name}) sqlippool_log_failed = IP Allocation FAILED from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) sqlippool_log_nopool = No Pool-Name defined (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) defaultpool = main_pool } Module: Instantiating attr_filter.accounting_response attr_filter attr_filter.accounting_response { attrsfile = /etc/raddb/attrs.accounting_response key = %{User-Name} } Module: Checking session {...} for more modules to load Module: Checking post-auth {...} for more modules to load } radiusd: Opening IP addresses and Ports - Message d'origine De : Tahar BEN ACHOUR tahar...@yahoo.fr À : debian-user-french@lists.debian.org Envoyé le : Mar 2 Mars 2010, 14 h 40 min 45 s Objet : Re : freeradius + sqlippool Le détail de tes tables ne montre que main_pool, et la requête semble avoir lieu sur test_pool. En effet désolé, l'utiisateur que j'ai utilisé fait partie du group dynamic qui lui est rattaché à la pool test_pool mysql select * from radusergroup; +--+---+--+ | username | groupname | priority | +--+---+--+ | tahar| dynamic |1 | | tba | static|1 | +--+---+--+ 2 rows in set (0.00 sec) mysql select * from radgroupcheck; ++---+---++---+ | id | groupname | attribute | op | value | ++---+---++---+ | 1 | static| Pool-Name | := | main_pool | | 2 | dynamic | Pool-Name | := | test_pool | ++---+---++---+ rlm_sql (sql): Released sql socket id: 0 [sqlippool] pool appears to be full [sqlippool] expand: IP Allocation FAILED from %{control:Pool-Name} (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user %{User-Name}) - IP Allocation FAILED from test_pool (did cli port 1812 user tahar) IP Allocation FAILED from test_pool (did cli port 1812 user tahar) ++[sqlippool] returns notfound ++[exec] returns noop Je ne comprends pas ce qu'il veut dire par pool appears to be full et je ne comprends pas comment lier le NAS (j'ai laissé la table vide) à la pool d'ip si c'est obligatoire ou non je n'ai pas trouvé de doc qui l'explique assez bien non plus malheureusement -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/857495.4076...@web26301.mail.ukl.yahoo.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/658883.75816...@web26302.mail.ukl.yahoo.com
Re : freeradius
Bonsoir, Tu as activé le module unix qui dit à FreeRADIUS de regarder les logins/MdP sur le système et non dans la base de données. C'est dans le fichier /etc/freeradius/site-enabled/default (ou un autre fichier si tu as créé un autre site). Tu cherches la section authenticate{ ... } Tu commentes unix. Il faudra peut-être faire de même (et décommenter sql) dans la section authorize{ ... }. Je vois dans tes logs que tu utilises pap. Je te conseille d'utiliser chap, voir ms-chap, car avec pap le mot de passe circule en clair sur le réseau (donc sécurité presque nulle). C'est bon ça marche, merci beaucoup, sinon comment intégrer sqlippool ? je dois le mettre à la place de SQL ? y a t'il un moyen de s'authentifier uniquement grâce à un id unique sans mot de passe ? parce que quand je fais la commande radtest sans passer tous les paramètres ça ne marche pas. Ce que je cherche à faire c'est de mettre en place des profils et des rangées d'ip pour chaque profil et dès que j'ai une connexion j'attribue une ip à partir de la pool d'ip que j'ai à celui qui s'est connecté. Merci pour votre aide. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/429902.15489...@web26305.mail.ukl.yahoo.com
Re: freeradius
Tahar BEN ACHOUR a écrit : Bonsoir à tous, Je suis en train de configurer un serveur radius qui devrait servir à attribuer des IP à des clients lors de leur connexion, j'ai mis en place un radius avec SQL comme base de donnée. En faisant des tests j'arrive à accéder à la base mais je n'arrive pas du tout à m'authentifier pourtant j'ai renseigner Cleartext-Password dans mes attributs au niveau de la base. Par contre j'arrive à me connecter avec mon compte Linux. Je ne comprends pas pourquoi il ne prend pas en compte le mot de passe stocké dans mysql. Sinon y a-t-il un moyen de me connecter sans mot de passe, je voudrais juste m'authentifier avec un ID unique tel qu'un numéro de Téléphone c'est possible ? Merci Voici la sortie que donne radius lorsque j'essai de m'authentifier avec mes comptes stockés sur ma base MySQL rad_recv: Access-Request packet from host 127.0.0.1 port 35640, id=252, length=57 User-Name = tahar User-Password = 123 NAS-IP-Address = 192.168.1.100 NAS-Port = 1812 +- entering group authorize {...} ++[preprocess] returns ok ++[chap] returns noop ++[mschap] returns noop [suffix] No '@' in User-Name = tahar, looking up realm NULL [suffix] No such realm NULL ++[suffix] returns noop [eap] No EAP-Message, not doing EAP ++[eap] returns noop ++[unix] returns updated ++[files] returns noop expand: %{User-Name} - tahar [sql] sql_set_user escaped user -- 'tahar' rlm_sql (sql): Reserving sql socket id: 3 expand: SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id - SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'tahar' ORDER BY id [sql] User found in radcheck table expand: SELECT id, username, attribute, value, op FROM radreply WHERE username = '%{SQL-User-Name}' ORDER BY id - SELECT id, username, attribute, value, op FROM radreply WHERE username = 'tahar' ORDER BY id expand: SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority - SELECT groupname FROM radusergroup WHERE username = 'tahar' ORDER BY priority expand: SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = '%{Sql-Group}' ORDER BY id - SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = 'test' ORDER BY id [sql] User found in group test expand: SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = '%{Sql-Group}' ORDER BY id - SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = 'test' ORDER BY id rlm_sql (sql): Released sql socket id: 3 ++[sql] returns ok ++[expiration] returns noop ++[logintime] returns noop ++[pap] returns updated Found Auth-Type = PAP +- entering group PAP {...} [pap] login attempt with password 123 [pap] Using CRYPT encryption. [pap] Passwords don't match ++[pap] returns reject Failed to authenticate the user. Using Post-Auth-Type Reject +- entering group REJECT {...} expand: %{User-Name} - tahar attr_filter: Matched entry DEFAULT at line 11 ++[attr_filter.access_reject] returns updated Delaying reject of request 1 for 1 seconds Going to the next request Waking up in 0.9 seconds. Sending delayed reject for request 1 Sending Access-Reject of id 252 to 127.0.0.1 port 35640 Waking up in 4.9 seconds. Cleaning up request 1 ID 252 with timestamp +147 Ready to process requests. Bonsoir, Tu as activé le module unix qui dit à FreeRADIUS de regarder les logins/MdP sur le système et non dans la base de données. C'est dans le fichier /etc/freeradius/site-enabled/default (ou un autre fichier si tu as créé un autre site). Tu cherches la section authenticate{ ... } Tu commentes unix. Il faudra peut-être faire de même (et décommenter sql) dans la section authorize{ ... }. Je vois dans tes logs que tu utilises pap. Je te conseille d'utiliser chap, voir ms-chap, car avec pap le mot de passe circule en clair sur le réseau (donc sécurité presque nulle). Si ca ne marche pas, va dans MySQL, et tapes les commandes suivantes (et envoyer sur la liste les résultats) : SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'tahar' ORDER BY id ; [sql] User found in radcheck table SELECT id, username, attribute, value, op FROM radreply WHERE username = 'tahar' ORDER BY id ; SELECT groupname FROM radusergroup WHERE username = 'tahar' ORDER BY priority ; SELECT id, groupname, attribute, Value, op
Re: Freeradius et client Xp
Je me réponds : La conf du switch n'était pas complète. En ajoutant un petit switchport access vlan XX, c'est ok dans tous les cas de figure. Anthony Carvin a écrit : Bonjour à tous, Je suis sur Debian Etch avec un Freeradius 1.1.3-3 compilé avec eap-tls et base mysql. Les certificats client et serveur sont installés. Le client est un Xp sp3 (ben oui) La config cliente a l'air correcte. MAIS PB : lorsque le client xp fait sa demande au radius via le switch (un port paramétré cf plus bas), le radius authentifie correctement le client (radius renvoie bien au final un : Sending Access-Accept) et le log bien dans la table radpostauth avec un tag : Access-Accept *MAIS *aucune IP n'est donnée au client qui utilise une ip Windowsienne de type 169.254.xxx.xxx Où se trouve le problème ? Le radius a l'air de faire son boulot, le dhcp a une réservation sur l'adresse mac et lorsque que le client est mis sur un port non configuré 802.1x il reçoit l'ip comme il faut. Petite précision, tout ce beau monde (radius, dhcp, client xp) est dans le même réseau. Les filtres sont corrects entre le switch et le radius. La conf du switch cisco : *interface FastEthernet0/1* *switchport mode access* *dot1x port-control auto* *dot1x guest-vlan XXX * -- A.CARVIN SSI CNRS Normandie 02.31.43.45.29 [EMAIL PROTECTED] smime.p7s Description: S/MIME Cryptographic Signature
Re: Freeradius sur Debian
Bonsoir, Sous Debian, le paquet freeradius installe ses fichiers de configurations dans /etc/freeradius. 2007/8/21, [EMAIL PROTECTED] [EMAIL PROTECTED]: bonjour, j'ai installé le freeradius1.0.2 et j'ai configuré le fichiers comme la doc de nante indique :http://www.nantes-wireless.org/act [...] artsuite=2 mais quand je lance le serveur radius par la commande radiusd -X -A j'obtiens des erreurs comme suit: reread_config: reading radiusd.conf Config: including file: /etc//raddb/proxy.conf Config: including file: /etc//raddb/clients.conf Config: including file: /etc//raddb/snmp.conf Config: including file: /etc//raddb/eap.conf Config: including file: /etc//raddb/sql.conf main: prefix = /usr/local main: localstatedir = /usr/local/var main: logdir = /usr/local/var/log/radius main: libdir = /usr/local/lib main: radacctdir = /usr/local/var/log/radius/radacct main: hostname_lookups = no main: max_request_time = 30 main: cleanup_delay = 5 main: max_requests = 1024 main: delete_blocked_requests = 0 main: port = 0 main: allow_core_dumps = no main: log_stripped_names = no main: log_file = /usr/local/var/log/radius/radius.log main: log_auth = no main: log_auth_badpass = no main: log_auth_goodpass = no main: pidfile = /usr/local/var/run/radiusd/radiusd.pid main: user = (null) main: group = (null) main: usercollide = no main: lower_user = no main: lower_pass = no main: nospace_user = no main: nospace_pass = no main: checkrad = /usr/local/sbin/checkrad main: proxy_requests = yes proxy: retry_delay = 5 proxy: retry_count = 3 proxy: synchronous = no proxy: default_fallback = yes proxy: dead_time = 120 proxy: post_proxy_authorize = no proxy: wake_all_if_all_dead = no security: max_attributes = 200 security: reject_delay = 1 security: status_server = no main: debug_level = 0 read_config_files: reading dictionary read_config_files: reading naslist Using deprecated naslist file. Support for this will go away soon. read_config_files: reading clients read_config_files: reading realms radiusd: entering modules setup Module: Library search path is /usr/local/lib Module: Loaded exec exec: wait = yes exec: program = (null) exec: input_pairs = request exec: output_pairs = (null) exec: packet_type = (null) rlm_exec: Wait=yes but no output defined. Did you mean output=none? Module: Instantiated exec (exec) Module: Loaded expr Module: Instantiated expr (expr) Module: Loaded CHAP Module: Instantiated chap (chap) Module: Loaded System unix: cache = no unix: passwd = (null) unix: shadow = (null) unix: group = (null) unix: radwtmp = /usr/local/var/log/radius/radwtmp unix: usegroup = no unix: cache_reload = 600 Module: Instantiated unix (unix) Module: Loaded eap eap: default_eap_type = tls eap: timer_expire = 60 eap: ignore_unknown_eap_types = no eap: cisco_accounting_username_bug = no rlm_eap: Loaded and initialized type md5 rlm_eap: Loaded and initialized type leap gtc: challenge = Password: gtc: auth_type = PAP rlm_eap: Loaded and initialized type gtc tls: rsa_key_exchange = no tls: dh_key_exchange = yes tls: rsa_key_length = 512 tls: dh_key_length = 512 tls: verify_depth = 0 tls: CA_path = (null) tls: pem_file_type = yes tls: private_key_file = /etc//raddb/certs/serveur.pem tls: certificate_file = /etc//raddb/certs/serveur.pem tls: CA_file = /etc//raddb/certs/demoCA/root.pem tls: private_key_password = whatever tls: dh_file = /etc//raddb/certs/dh tls: random_file = /etc//raddb/certs/random tls: fragment_size = 1024 tls: include_length = yes tls: check_crl = no tls: check_cert_cn = %{User-Name} 12887:error:02001002:system library:fopen:No such file or directory:bss_file.c:122:fopen('/etc//raddb/certs/demoCA/root.pem','r') 12887:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:125: 12887:error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib:by_file.c:274: rlm_eap_tls: Error reading Trusted root CA list rlm_eap: Failed to initialize type tls radiusd.conf[10]: eap: Module instantiation failed. j'ai lu la solution Patrick mais je n'arrive pas à corriger le problème , d'ou vous pouvez me décrire en détail ce qu'il fallait faire pour le remédier merci pour votre réponse
Re: Freeradius sur Debian
Patrice OLIVER a écrit : Bonjour, salut Sur Etch, j'ai installé freeradius à partir des sources (version 1.1.7) J'ai décompressé les sources, puis fait un fakeroot dpkg-buildpackage -b -uc Cela m'a donné les paquets à installer. J'ai installé le paquet freeradius-1.1.7-0all_i386.deb Au premier lancement du daemon, tout est OK. J'ai ensuite modifié la configuration pour prendre en compte EAP-TLS (source : http://www.nantes-wireless.org/actu/article.php3?id_article=8artsuite=2), et j'obtiens le message suivant en faisant freeradius -X -A : bon je ne connais pas le fonctionnement de ton pgm, mais certains points de la conf semblent ne pas coller en toute logique: rlm_eap: Loaded and initialized type leap gtc: challenge = Password: gtc: auth_type = PAP rlm_eap: Loaded and initialized type gtc tls: rsa_key_exchange = no tls: dh_key_exchange = yes tls: rsa_key_length = 512 tls: dh_key_length = 512 tls: verify_depth = 0 tls: CA_path = (null) a- un path NULL ça doit pas le faire '/etc/freeradius/certs/demoCA' ? tls: pem_file_type = yes tls: private_key_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem tls: certificate_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem tls: CA_file = /etc/freeradius/certs/demoCA/root.pem a- là, ça serait plutôt juste 'root.pem' tls: private_key_password = whatever tls: dh_file = /etc/freeradius/certs/dh tls: random_file = /etc/freeradius/certs/random tls: fragment_size = 1024 tls: include_length = yes tls: check_crl = yes tls: check_cert_cn = (null) tls: cipher_list = (null) tls: check_cert_issuer = (null) b- là aussi, des variables indéfinies (==NULL), il ne doit pas aimer, ça serait plutôt 'yes' ou 'no' et une string contenant le listing des types de chiffrage supportés rlm_eap_tls: Loading the certificate file as a chain rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory rlm_eap_tls: Error reading Trusted root CA list rlm_eap: Failed to initialize type tls ça semble directement lié au point a radiusd.conf[10]: eap: Module instantiation failed. radiusd.conf[1960] Unknown module eap. radiusd.conf[1907] Failed to parse authenticate section. Les certificats sont en place. Si vous le souhaitez, je pourrai joindre les fichiers radiusd.conf, clients.conf et eap.conf regarde ça: http://www.dslreports.com/forum/remark,9286052 en espérant que ça t'aide -- You will be successful in your work.
Re: Freeradius sur Debian
Bonsoir, J'ai enfin trouvé la cause de mon problème : le répertoire du root CA n'était pas bon. Bonne soirée. :) Le 10/08/07, Jean-Yves F. Barbier[EMAIL PROTECTED] a écrit : Patrice OLIVER a écrit : Bonjour, salut Sur Etch, j'ai installé freeradius à partir des sources (version 1.1.7) J'ai décompressé les sources, puis fait un fakeroot dpkg-buildpackage -b -uc Cela m'a donné les paquets à installer. J'ai installé le paquet freeradius-1.1.7-0all_i386.deb Au premier lancement du daemon, tout est OK. J'ai ensuite modifié la configuration pour prendre en compte EAP-TLS (source : http://www.nantes-wireless.org/actu/article.php3?id_article=8artsuite=2), et j'obtiens le message suivant en faisant freeradius -X -A : bon je ne connais pas le fonctionnement de ton pgm, mais certains points de la conf semblent ne pas coller en toute logique: rlm_eap: Loaded and initialized type leap gtc: challenge = Password: gtc: auth_type = PAP rlm_eap: Loaded and initialized type gtc tls: rsa_key_exchange = no tls: dh_key_exchange = yes tls: rsa_key_length = 512 tls: dh_key_length = 512 tls: verify_depth = 0 tls: CA_path = (null) a- un path NULL ça doit pas le faire '/etc/freeradius/certs/demoCA' ? tls: pem_file_type = yes tls: private_key_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem tls: certificate_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem tls: CA_file = /etc/freeradius/certs/demoCA/root.pem a- là, ça serait plutôt juste 'root.pem' tls: private_key_password = whatever tls: dh_file = /etc/freeradius/certs/dh tls: random_file = /etc/freeradius/certs/random tls: fragment_size = 1024 tls: include_length = yes tls: check_crl = yes tls: check_cert_cn = (null) tls: cipher_list = (null) tls: check_cert_issuer = (null) b- là aussi, des variables indéfinies (==NULL), il ne doit pas aimer, ça serait plutôt 'yes' ou 'no' et une string contenant le listing des types de chiffrage supportés rlm_eap_tls: Loading the certificate file as a chain rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory rlm_eap_tls: Error reading Trusted root CA list rlm_eap: Failed to initialize type tls ça semble directement lié au point a radiusd.conf[10]: eap: Module instantiation failed. radiusd.conf[1960] Unknown module eap. radiusd.conf[1907] Failed to parse authenticate section. Les certificats sont en place. Si vous le souhaitez, je pourrai joindre les fichiers radiusd.conf, clients.conf et eap.conf regarde ça: http://www.dslreports.com/forum/remark,9286052 en espérant que ça t'aide -- You will be successful in your work.