Re: freeradius-dialupadmin -- debian9

[Olivier]

De mémoire, Dialup Admin fonctionne avec la version 2 de Freeradius.
Depuis Stretch, Freeradius est en version 3 dans les dépôts

Le jeu. 29 août 2019 à 11:06, SISSOKHO Adama  a
écrit :

> Bonjour,
>
> Je n'arrive pas à installer *freeradius-dialupadmin *sur* debian9*.
> Existe-t-il un substitut ou un moyen spécial d'effectuer l'installation?
> Merci d'avance pour votre aide.
>
> Salutations
>

Re: freeradius-dialupadmin -- debian9

[Sébastien NOBILI]

Merci de ne pas m’écrire en direct, je suis abonné à la liste.

Le jeudi 29 août 2019 à 12:32, Bernard Schoenacker a écrit :
> voici les alternatives :
> 
> https://alternativeto.net/software/freeradius/

Attention, ce n’est pas FreeRADIUS qui n’est plus maintenu, c’est le module
Dialup admin.

Sébastien

Re: freeradius-dialupadmin -- debian9

[Bernard Schoenacker]

- Mail original -
> De: "Sébastien NOBILI" 
> À: debian-user-french@lists.debian.org
> Envoyé: Jeudi 29 Août 2019 11:28:57
> Objet: Re: freeradius-dialupadmin -- debian9
> 
> Bonjour,
> 
> Le jeudi 29 août 2019 à 10:48, SISSOKHO Adama a écrit :
> 
> Ça me semble normal, et indépendant de Debian :
> 
> The software is currently unmaintained, might not work using more
> recent PHP
> versions, and possibly has some security issues. Using this
> software is
> deprecated.
> 
> https://wiki.freeradius.org/guide/Dialup-admin
> 
> Il faudrait plutôt demander sur une liste Freeradius quelles sont les
> alternatives supportées.
> 
> Sébastien
> 


bonjour,

voici les alternatives :

https://alternativeto.net/software/freeradius/

merci pour votre aimable attention

bien à vous
bernard

Re: freeradius-dialupadmin -- debian9

[Sébastien NOBILI]

Bonjour,

Le jeudi 29 août 2019 à 10:48, SISSOKHO Adama a écrit :
> Je n'arrive pas à installer *freeradius-dialupadmin *sur* debian9*.
> Existe-t-il un substitut ou un moyen spécial d'effectuer l'installation?
> Merci d'avance pour votre aide.

Ça me semble normal, et indépendant de Debian :

The software is currently unmaintained, might not work using more recent PHP
versions, and possibly has some security issues. Using this software is
deprecated.

https://wiki.freeradius.org/guide/Dialup-admin

Il faudrait plutôt demander sur une liste Freeradius quelles sont les
alternatives supportées.

Sébastien

Re: Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?

[Olivier]

Bonjour,

En consultant d'autres listes, j'ai collecté des conseils qu'il me parait
intéressant de partager ici.

Pour faire simple, si j'ai bien compris, des personnes conseillent de
traiter les connexions aux réseaux WiFi sécurisés de la façon suivante:
- l'utilisateur importe sur sa machine un certificat plus ou moins caché
dans un paquet cadeau bien présenté,
- l'utilisateur se connecte ensuite au réseau WiFi sécurisé en désignant
simplement le nom du réseau WiFi.

À aucun moment, l'utilisateur ne saisit véritablement les paramètres
"techniques" de connexion: ils sont livrés avec le certificat.

Ce processus rappelle celui des fichiers .mobileconfig du monde Apple.

Le site https://cat.eduroam.org/ présente un installeur multi-plateforme
pour confectionner ces paquets cadeau.
On parle d'Onboarding (cf [1])

[1] https://www.ruckuswireless.com/solutions/secure-onboarding.

Slts


Le ven. 7 sept. 2018 à 14:29, Olivier  a écrit :

> Bonjour,
>
> J'ai compris que pour faciliter la connexion de PC sous Windows à un
> réseau WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels,
> un "certificat serveur" (cf [1]).
>
> Sous la forme d'un simple fichier dans un format connu, les utilisateurs
> potentiels ajoutent ce certificat sur leur appareil.
>
> Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau
> WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe.
>
> 1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ?
> 2. Est-il bien exact que ce fichier fait partie de la configuration de la
> base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ?
>
> Slts
>
> [1] https://wiki.freeradius.org/protocol/EAP-PEAP
>

Re: Freeradius ne re-démarre pas [RESOLU]

[Olivier]

Le 22 juin 2016 à 16:42, François TOURDE  a
écrit :

> Salut,
>
> Le 16974ième jour après Epoch,
> Olivier écrivait:
>
> > Quand je re-démarre freeradius par "systemctl restart freeradius" ou
> > "systemctl stop freeradius; systemctl start freeradius", j'observe dans
> les
> > logs:
> >
> > juin 22 15:50:39 foobar freeradius[2977]: radiusd:  Opening IP
> > addresses and Ports 
> > juin 22 15:50:39 foobar freeradius[2977]: listen {
> > juin 22 15:50:39 foobar freeradius[2977]: type = "auth"
> > juin 22 15:50:39 foobar freeradius[2977]: ipaddr = *
> > juin 22 15:50:39 foobar freeradius[2977]: port = 0
> > juin 22 15:50:39 foobar freeradius[2977]: Failed binding to
> authentication
> > address * port 1812: Address already in use
> > juin 22 15:50:39 foobar freeradius[2977]:
> > /etc/freeradius/radiusd.conf[273]: Error binding to port for 0.0.0.0 port
> > 1812
> > juin 22 15:50:39 foobar freeradius[2977]: failed
>
> Tu as essayé de faire un stop, d'attendre que éventuellement le
> processus soit bien arrêté, puis de faire un start?
>
> Ça ressemble à un process pas encore fini, ça.
>
> > Pourtant, j'ai:
> > # netstat -a | grep  1812
> > udp0  0 localhost:18120 0.0.0.0:*
> > # netstat -a | grep radius
> > udp0  0 0.0.0.0:radius  0.0.0.0:*
> >
> > udp0  0 0.0.0.0:radius-acct 0.0.0.0:*
> >
> > Dans ce qui précède, j'imagine que radius=1812 et radius-acct=1813.
>
> Oui, tu peux vérifier par la commande:
>
>   grep radius /etc/services
>
>
J'avais laissé la ligne FREERADIUS_OPTIONS="-X" dans mon fichier
/etc/default/freeradius.
En la supprimant, freeradius re-démarre normalement.

Je trouve ce comportement surprenant (pourquoi le mode debug devrait-il
laisser tourner des processus ? faut-il donc rebooter pour arrêter
freeradius en mode debug ?).
La commande "man freeradius" ne mentionne pas cet effet de bord.

Qu'en pensez-vous ?

Slts

Re: Freeradius ne re-démarre pas

[François TOURDE]

Salut,

Le 16974ième jour après Epoch,
Olivier écrivait:

> Quand je re-démarre freeradius par "systemctl restart freeradius" ou
> "systemctl stop freeradius; systemctl start freeradius", j'observe dans les
> logs:
>
> juin 22 15:50:39 foobar freeradius[2977]: radiusd:  Opening IP
> addresses and Ports 
> juin 22 15:50:39 foobar freeradius[2977]: listen {
> juin 22 15:50:39 foobar freeradius[2977]: type = "auth"
> juin 22 15:50:39 foobar freeradius[2977]: ipaddr = *
> juin 22 15:50:39 foobar freeradius[2977]: port = 0
> juin 22 15:50:39 foobar freeradius[2977]: Failed binding to authentication
> address * port 1812: Address already in use
> juin 22 15:50:39 foobar freeradius[2977]:
> /etc/freeradius/radiusd.conf[273]: Error binding to port for 0.0.0.0 port
> 1812
> juin 22 15:50:39 foobar freeradius[2977]: failed

Tu as essayé de faire un stop, d'attendre que éventuellement le
processus soit bien arrêté, puis de faire un start?

Ça ressemble à un process pas encore fini, ça.

> Pourtant, j'ai:
> # netstat -a | grep  1812
> udp0  0 localhost:18120 0.0.0.0:*
> # netstat -a | grep radius
> udp0  0 0.0.0.0:radius  0.0.0.0:*
>
> udp0  0 0.0.0.0:radius-acct 0.0.0.0:*
>
> Dans ce qui précède, j'imagine que radius=1812 et radius-acct=1813.

Oui, tu peux vérifier par la commande:

  grep radius /etc/services

Re: Freeradius 2

[Anthony Bourguignon]

Le 08/08/11 10:47, Mikael ZIELINSKI a écrit :

Bonjour,


J'ai installé Debian Squeeze et j'aimerai installer Freeradius2.

Cependant au niveau de TLS je me pose les question suivantes :

Le TLS est-il supporté de base dans les paquets Freeradius2 depuis
Debian6 ou simplement dans les sources ?


Je te confirme que le TLS est présent et fonctionnel dans les paquets 
squeeze de freeradius.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e3fb442.2000...@toniob.net

Re: Freeradius 2

[Mikael ZIELINSKI]

Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ?

Le 8 août 2011 12:02, Anthony Bourguignon 
debian+lists.user-fre...@toniob.net a écrit :

 Le 08/08/11 10:47, Mikael ZIELINSKI a écrit :

  Bonjour,


 J'ai installé Debian Squeeze et j'aimerai installer Freeradius2.

 Cependant au niveau de TLS je me pose les question suivantes :

 Le TLS est-il supporté de base dans les paquets Freeradius2 depuis
 Debian6 ou simplement dans les sources ?


 Je te confirme que le TLS est présent et fonctionnel dans les paquets
 squeeze de freeradius.

Re: Freeradius 2

[Anthony Bourguignon]

Le 08/08/11 12:29, Mikael ZIELINSKI a écrit :

Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ?


À priori oui. De mon côté, EAP/TTLS fonctionne donc PEAP devrait être ok 
aussi.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e3fcaef.3090...@toniob.net

Re: Freeradius 2

[Mikael ZIELINSKI]

Merci beaucoup

Le 8 août 2011 13:39, Anthony Bourguignon 
debian+lists.user-fre...@toniob.net a écrit :

 Le 08/08/11 12:29, Mikael ZIELINSKI a écrit :

 Et donc si j'ai bien compris, je peux mettre en place EAP/PEAP mschapV2 ?


 À priori oui. De mon côté, EAP/TTLS fonctionne donc PEAP devrait être ok
 aussi.

Re: freeradius + sqlippool

[François TOURDE]

Le 14670ième jour après Epoch,
Tahar BEN ACHOUR écrivait:

 IP Allocation FAILED from test_pool   (did  cli  port 1812 user tahar)
[...]
 je n'ai pas bien compris ce que ça veut dire sachant que ma table est
 remplie d'adresses correspondant aux deux Pool-Name que je suis en
 train de tester.

 Voici le contenu des tables
[...]
 |  1 | main_pool | 192.168.100.10  |  | |
[...]
 ++---+---++---+
 |  1 | static| Pool-Name | := | main_pool | 
 ++---+---++---+

Le détail de tes tables ne montre que main_pool, et la requête semble
avoir lieu sur test_pool.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/87vdde6fg1@fermat.tourde.home

Re : freeradius + sqlippool

[Tahar BEN ACHOUR]

 Le détail de tes tables ne montre que main_pool, et la requête semble

 avoir lieu sur test_pool.
 
En effet désolé, l'utiisateur que j'ai utilisé fait partie du group dynamic qui 
lui est rattaché à la pool test_pool 

mysql select * from radusergroup;
+--+---+--+
| username | groupname | priority |
+--+---+--+
| tahar| dynamic   |1 | 
| tba  | static|1 | 
+--+---+--+
2 rows in set (0.00 sec)

mysql select * from radgroupcheck;
++---+---++---+
| id | groupname | attribute | op | value |
++---+---++---+
|  1 | static| Pool-Name | := | main_pool | 
|  2 | dynamic   | Pool-Name | := | test_pool | 
++---+---++---+

rlm_sql (sql): Released sql socket id: 0
[sqlippool] pool appears to be full
[sqlippool] expand: IP Allocation FAILED from %{control:Pool-Name}   (did 
%{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user 
%{User-Name}) - IP Allocation FAILED from test_pool   (did  cli  port 1812 
user tahar)
IP Allocation FAILED from test_pool   (did  cli  port 1812 user tahar)
++[sqlippool] returns notfound
++[exec] returns noop

Je ne comprends pas ce qu'il veut dire par pool appears to be full et je ne 
comprends pas comment lier le NAS (j'ai laissé la table vide) à la pool d'ip si 
c'est obligatoire ou non je n'ai pas trouvé de doc qui l'explique assez bien 
non plus malheureusement




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/857495.4076...@web26301.mail.ukl.yahoo.com

Re : Re : freeradius + sqlippool (comlément d'in fo)

[Tahar BEN ACHOUR]

J'ai d'autre messages dans mon debug apparemment il n'arrive pas du tout à voir 
la pool dès le début et je ne comprends pas où j'ai foiré ma config

l   WHERE nasipaddress = '%{Nas-IP-Address}'
off-commit = COMMIT
off-rollback = ROLLBACK
sqlippool_log_exists = Existing IP: %{reply:Framed-IP-Address}   (did 
%{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user 
%{User-Name})
sqlippool_log_success = Allocated IP: %{reply:Framed-IP-Address} from 
%{control:Pool-Name}   (did %{Called-Station-Id} cli %{Calling-Station-Id} port 
%{NAS-Port} user %{User-Name})
sqlippool_log_clear = Released IP %{Framed-IP-Address} (did 
%{Called-Station-Id} cli %{Calling-Station-Id} user %{User-Name})
sqlippool_log_failed = IP Allocation FAILED from %{control:Pool-Name}  
 (did %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user 
%{User-Name})
sqlippool_log_nopool = No Pool-Name defined   (did 
%{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user 
%{User-Name})
defaultpool = main_pool
  }
 Module: Instantiating attr_filter.accounting_response
  attr_filter attr_filter.accounting_response {
attrsfile = /etc/raddb/attrs.accounting_response
key = %{User-Name}
  }
 Module: Checking session {...} for more modules to load
 Module: Checking post-auth {...} for more modules to load
 }
radiusd:  Opening IP addresses and Ports 




- Message d'origine 
 De : Tahar BEN ACHOUR tahar...@yahoo.fr
 À : debian-user-french@lists.debian.org
 Envoyé le : Mar 2 Mars 2010, 14 h 40 min 45 s
 Objet : Re : freeradius + sqlippool
 
  Le détail de tes tables ne montre que main_pool, et la requête semble
 
  avoir lieu sur test_pool.
  
 En effet désolé, l'utiisateur que j'ai utilisé fait partie du group dynamic 
 qui 
 lui est rattaché à la pool test_pool 
 
 mysql select * from radusergroup;
 +--+---+--+
 | username | groupname | priority |
 +--+---+--+
 | tahar| dynamic   |1 | 
 | tba  | static|1 | 
 +--+---+--+
 2 rows in set (0.00 sec)
 
 mysql select * from radgroupcheck;
 ++---+---++---+
 | id | groupname | attribute | op | value |
 ++---+---++---+
 |  1 | static| Pool-Name | := | main_pool | 
 |  2 | dynamic   | Pool-Name | := | test_pool | 
 ++---+---++---+
 
 rlm_sql (sql): Released sql socket id: 0
 [sqlippool] pool appears to be full
 [sqlippool] expand: IP Allocation FAILED from %{control:Pool-Name}   (did 
 %{Called-Station-Id} cli %{Calling-Station-Id} port %{NAS-Port} user 
 %{User-Name}) - IP Allocation FAILED from test_pool   (did  cli  port 1812 
 user 
 tahar)
 IP Allocation FAILED from test_pool   (did  cli  port 1812 user tahar)
 ++[sqlippool] returns notfound
 ++[exec] returns noop
 
 Je ne comprends pas ce qu'il veut dire par pool appears to be full et je ne 
 comprends pas comment lier le NAS (j'ai laissé la table vide) à la pool d'ip 
 si 
 c'est obligatoire ou non je n'ai pas trouvé de doc qui l'explique assez bien 
 non 
 plus malheureusement
 
 
 
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists
 
 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
 Archive: http://lists.debian.org/857495.4076...@web26301.mail.ukl.yahoo.com





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/658883.75816...@web26302.mail.ukl.yahoo.com

Re : freeradius

[Tahar BEN ACHOUR]

 Bonsoir,
 
 Tu as activé le module unix qui dit à FreeRADIUS de regarder les
 logins/MdP sur le système et non dans la base de données.
 C'est dans le fichier /etc/freeradius/site-enabled/default (ou un
 autre fichier si tu as créé un autre site). Tu cherches la section
 authenticate{ ... }
 
 Tu commentes unix.
 
 Il faudra peut-être faire de même (et décommenter sql) dans la section
 authorize{ ... }.
 
 Je vois dans tes logs que tu utilises pap. Je te conseille d'utiliser
 chap, voir ms-chap, car avec pap le mot de passe circule en clair sur le
 réseau (donc sécurité presque nulle).

C'est bon ça marche, merci beaucoup, sinon comment intégrer sqlippool ? je dois 
le mettre à la place de SQL ? y a t'il un moyen de s'authentifier uniquement 
grâce à un id unique sans mot de passe ? parce que quand je fais la commande 
radtest sans passer tous les paramètres ça ne marche pas. 

Ce que je cherche à faire c'est de mettre en place des profils et des rangées 
d'ip pour chaque profil et dès que j'ai une connexion j'attribue une ip à 
partir de la pool d'ip que j'ai à celui qui s'est connecté.


Merci pour votre aide.





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/429902.15489...@web26305.mail.ukl.yahoo.com

Re: freeradius

[Guillaume]

Tahar BEN ACHOUR a écrit :
 Bonsoir à tous,
 
 Je suis en train de configurer un serveur radius qui devrait servir à 
 attribuer des IP à des clients lors de leur connexion, j'ai mis en place un 
 radius avec SQL comme base de donnée. 
 
 En faisant des tests j'arrive à accéder à la base mais je n'arrive pas du 
 tout à m'authentifier pourtant j'ai renseigner Cleartext-Password dans mes 
 attributs au niveau de la base. Par contre j'arrive à me connecter avec mon 
 compte Linux. Je ne comprends pas pourquoi il ne prend pas en compte le mot 
 de passe stocké dans mysql.
 
 Sinon y a-t-il un moyen de me connecter sans mot de passe, je voudrais juste 
 m'authentifier avec un ID unique tel qu'un numéro de Téléphone c'est possible 
 ?
 
 Merci 
 
 
 Voici la sortie que donne radius lorsque j'essai de m'authentifier avec mes 
 comptes stockés sur ma base MySQL
 
 rad_recv: Access-Request packet from host 127.0.0.1 port 35640, id=252, 
 length=57
 User-Name = tahar
 User-Password = 123
 NAS-IP-Address = 192.168.1.100
 NAS-Port = 1812
 +- entering group authorize {...}
 ++[preprocess] returns ok
 ++[chap] returns noop
 ++[mschap] returns noop
 [suffix] No '@' in User-Name = tahar, looking up realm NULL
 [suffix] No such realm NULL
 ++[suffix] returns noop
 [eap] No EAP-Message, not doing EAP
 ++[eap] returns noop
 ++[unix] returns updated
 ++[files] returns noop
 expand: %{User-Name} - tahar
 [sql] sql_set_user escaped user -- 'tahar'
 rlm_sql (sql): Reserving sql socket id: 3
 expand: SELECT id, username, attribute, value, op   FROM radcheck 
   WHERE username = '%{SQL-User-Name}'   ORDER BY id - SELECT 
 id, username, attribute, value, op   FROM radcheck   WHERE 
 username = 'tahar'   ORDER BY id
 [sql] User found in radcheck table
 expand: SELECT id, username, attribute, value, op   FROM radreply 
   WHERE username = '%{SQL-User-Name}'   ORDER BY id - SELECT 
 id, username, attribute, value, op   FROM radreply   WHERE 
 username = 'tahar'   ORDER BY id
 expand: SELECT groupname   FROM radusergroup   WHERE 
 username = '%{SQL-User-Name}'   ORDER BY priority - SELECT groupname 
   FROM radusergroup   WHERE username = 'tahar'   
 ORDER BY priority
 expand: SELECT id, groupname, attribute,   Value, op   
 FROM radgroupcheck   WHERE groupname = '%{Sql-Group}'   ORDER 
 BY id - SELECT id, groupname, attribute,   Value, op   FROM 
 radgroupcheck   WHERE groupname = 'test'   ORDER BY id
 [sql] User found in group test
 expand: SELECT id, groupname, attribute,   value, op   
 FROM radgroupreply   WHERE groupname = '%{Sql-Group}'   ORDER 
 BY id - SELECT id, groupname, attribute,   value, op   FROM 
 radgroupreply   WHERE groupname = 'test'   ORDER BY id
 rlm_sql (sql): Released sql socket id: 3
 ++[sql] returns ok
 ++[expiration] returns noop
 ++[logintime] returns noop
 ++[pap] returns updated
 Found Auth-Type = PAP
 +- entering group PAP {...}
 [pap] login attempt with password 123
 [pap] Using CRYPT encryption.
 [pap] Passwords don't match
 ++[pap] returns reject
 Failed to authenticate the user.
 Using Post-Auth-Type Reject
 +- entering group REJECT {...}
 expand: %{User-Name} - tahar
  attr_filter: Matched entry DEFAULT at line 11
 ++[attr_filter.access_reject] returns updated
 Delaying reject of request 1 for 1 seconds
 Going to the next request
 Waking up in 0.9 seconds.
 Sending delayed reject for request 1
 Sending Access-Reject of id 252 to 127.0.0.1 port 35640
 Waking up in 4.9 seconds.
 Cleaning up request 1 ID 252 with timestamp +147
 Ready to process requests.
 
 
   
 

Bonsoir,

Tu as activé le module unix qui dit à FreeRADIUS de regarder les
logins/MdP sur le système et non dans la base de données.
C'est dans le fichier /etc/freeradius/site-enabled/default (ou un
autre fichier si tu as créé un autre site). Tu cherches la section
authenticate{ ... }

Tu commentes unix.

Il faudra peut-être faire de même (et décommenter sql) dans la section
authorize{ ... }.

Je vois dans tes logs que tu utilises pap. Je te conseille d'utiliser
chap, voir ms-chap, car avec pap le mot de passe circule en clair sur le
réseau (donc sécurité presque nulle).

Si ca ne marche pas, va dans MySQL, et tapes les commandes suivantes (et
envoyer sur la liste les résultats) :
SELECT id, username, attribute, value, op   FROM radcheck
WHERE username = 'tahar'   ORDER BY id ;

 [sql] User found in radcheck table

SELECT id, username, attribute, value, op   FROM radreply
WHERE username = 'tahar'   ORDER BY id ;

SELECT groupname   FROM radusergroup   WHERE username =
'tahar'   ORDER BY priority ;

SELECT id, groupname, attribute,   Value, op 

Re: Freeradius et client Xp

[Anthony Carvin]

Je me réponds :

La conf du switch n'était pas complète. En ajoutant un petit switchport 
access vlan XX, c'est ok dans tous les cas de figure.




Anthony Carvin a écrit :

Bonjour à tous,

Je suis sur Debian Etch avec un Freeradius 1.1.3-3 compilé avec 
eap-tls et base mysql.


Les certificats client et serveur sont installés. Le client est un Xp 
sp3 (ben oui) La config cliente a l'air correcte.


MAIS PB : lorsque le client xp fait sa demande au radius via le switch 
(un port paramétré cf plus bas), le radius authentifie correctement le 
client (radius renvoie bien au final un : Sending Access-Accept) et le 
log bien dans la table radpostauth avec un tag :  Access-Accept *MAIS 
*aucune IP n'est donnée au client qui utilise une ip Windowsienne de 
type 169.254.xxx.xxx


Où se trouve le problème ? Le radius a l'air de faire son boulot, le 
dhcp a une réservation sur l'adresse mac et lorsque que le client est 
mis sur un port non configuré 802.1x il reçoit l'ip comme il faut.


Petite précision, tout ce beau monde (radius, dhcp, client xp) est 
dans le même réseau. Les filtres sont corrects entre le switch et le 
radius.



La conf du switch cisco :

*interface FastEthernet0/1*

*switchport mode access*

*dot1x port-control auto*

*dot1x guest-vlan XXX
*



--
A.CARVIN
SSI CNRS Normandie
02.31.43.45.29
[EMAIL PROTECTED]



smime.p7s
Description: S/MIME Cryptographic Signature

Re: Freeradius sur Debian

[Patrice OLIVER]

Bonsoir,

Sous Debian, le paquet freeradius installe ses fichiers de
configurations dans /etc/freeradius.

2007/8/21, [EMAIL PROTECTED] [EMAIL PROTECTED]:
 bonjour,

 j'ai installé le freeradius1.0.2 et j'ai configuré le fichiers comme la doc 
 de nante indique :http://www.nantes-wireless.org/act [...] artsuite=2 mais 
 quand je lance le serveur radius  par la commande radiusd -X -A  j'obtiens 
 des erreurs comme suit:
 reread_config:  reading radiusd.conf
 Config:   including file: /etc//raddb/proxy.conf
 Config:   including file: /etc//raddb/clients.conf
 Config:   including file: /etc//raddb/snmp.conf
 Config:   including file: /etc//raddb/eap.conf
 Config:   including file: /etc//raddb/sql.conf
  main: prefix = /usr/local
  main: localstatedir = /usr/local/var
  main: logdir = /usr/local/var/log/radius
  main: libdir = /usr/local/lib
  main: radacctdir = /usr/local/var/log/radius/radacct
  main: hostname_lookups = no
  main: max_request_time = 30
  main: cleanup_delay = 5
  main: max_requests = 1024
  main: delete_blocked_requests = 0
  main: port = 0
  main: allow_core_dumps = no
  main: log_stripped_names = no
  main: log_file = /usr/local/var/log/radius/radius.log
  main: log_auth = no
  main: log_auth_badpass = no
  main: log_auth_goodpass = no
  main: pidfile = /usr/local/var/run/radiusd/radiusd.pid
  main: user = (null)
  main: group = (null)
  main: usercollide = no
  main: lower_user = no
  main: lower_pass = no
  main: nospace_user = no
  main: nospace_pass = no
  main: checkrad = /usr/local/sbin/checkrad
  main: proxy_requests = yes
  proxy: retry_delay = 5
  proxy: retry_count = 3
  proxy: synchronous = no
  proxy: default_fallback = yes
  proxy: dead_time = 120
  proxy: post_proxy_authorize = no
  proxy: wake_all_if_all_dead = no
  security: max_attributes = 200
  security: reject_delay = 1
  security: status_server = no
  main: debug_level = 0
 read_config_files:  reading dictionary
 read_config_files:  reading naslist
 Using deprecated naslist file.  Support for this will go away soon.
 read_config_files:  reading clients
 read_config_files:  reading realms
 radiusd:  entering modules setup
 Module: Library search path is /usr/local/lib
 Module: Loaded exec
  exec: wait = yes
  exec: program = (null)
  exec: input_pairs = request
  exec: output_pairs = (null)
  exec: packet_type = (null)
 rlm_exec: Wait=yes but no output defined. Did you mean output=none?
 Module: Instantiated exec (exec)
 Module: Loaded expr
 Module: Instantiated expr (expr)
 Module: Loaded CHAP
 Module: Instantiated chap (chap)
 Module: Loaded System
  unix: cache = no
  unix: passwd = (null)
  unix: shadow = (null)
  unix: group = (null)
  unix: radwtmp = /usr/local/var/log/radius/radwtmp
  unix: usegroup = no
  unix: cache_reload = 600
 Module: Instantiated unix (unix)
 Module: Loaded eap
  eap: default_eap_type = tls
  eap: timer_expire = 60
  eap: ignore_unknown_eap_types = no
  eap: cisco_accounting_username_bug = no
 rlm_eap: Loaded and initialized type md5
 rlm_eap: Loaded and initialized type leap
  gtc: challenge = Password: 
  gtc: auth_type = PAP
 rlm_eap: Loaded and initialized type gtc
  tls: rsa_key_exchange = no
  tls: dh_key_exchange = yes
  tls: rsa_key_length = 512
  tls: dh_key_length = 512
  tls: verify_depth = 0
  tls: CA_path = (null)
  tls: pem_file_type = yes
  tls: private_key_file = /etc//raddb/certs/serveur.pem
  tls: certificate_file = /etc//raddb/certs/serveur.pem
  tls: CA_file = /etc//raddb/certs/demoCA/root.pem
  tls: private_key_password = whatever
  tls: dh_file = /etc//raddb/certs/dh
  tls: random_file = /etc//raddb/certs/random
  tls: fragment_size = 1024
  tls: include_length = yes
  tls: check_crl = no
  tls: check_cert_cn = %{User-Name}
 12887:error:02001002:system library:fopen:No such file or 
 directory:bss_file.c:122:fopen('/etc//raddb/certs/demoCA/root.pem','r')
 12887:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:125:
 12887:error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system 
 lib:by_file.c:274:
 rlm_eap_tls: Error reading Trusted root CA list
 rlm_eap: Failed to initialize type tls
 radiusd.conf[10]: eap: Module instantiation failed.
 j'ai lu la solution Patrick mais je n'arrive pas à corriger le problème , 
 d'ou vous pouvez me décrire en détail ce qu'il fallait faire pour le remédier
 merci pour votre réponse

Re: Freeradius sur Debian

[Jean-Yves F. Barbier]

Patrice OLIVER a écrit :

Bonjour,


salut


Sur Etch, j'ai installé freeradius à partir des sources (version 1.1.7)
J'ai décompressé les sources, puis fait un fakeroot dpkg-buildpackage -b -uc
Cela m'a donné les paquets à installer.

J'ai installé le paquet freeradius-1.1.7-0all_i386.deb

Au premier lancement du daemon, tout est OK.
J'ai ensuite modifié la configuration pour prendre en compte EAP-TLS
(source : 
http://www.nantes-wireless.org/actu/article.php3?id_article=8artsuite=2),
et j'obtiens le message suivant en faisant freeradius -X -A :


bon je ne connais pas le fonctionnement de ton pgm, mais certains points
de la conf semblent ne pas coller en toute logique:


rlm_eap: Loaded and initialized type leap
 gtc: challenge = Password: 
 gtc: auth_type = PAP
rlm_eap: Loaded and initialized type gtc
 tls: rsa_key_exchange = no
 tls: dh_key_exchange = yes
 tls: rsa_key_length = 512
 tls: dh_key_length = 512
 tls: verify_depth = 0
 tls: CA_path = (null)


a- un path NULL ça doit pas le faire '/etc/freeradius/certs/demoCA' ?


 tls: pem_file_type = yes
 tls: private_key_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem
 tls: certificate_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem
 tls: CA_file = /etc/freeradius/certs/demoCA/root.pem


a- là, ça serait plutôt juste 'root.pem'


 tls: private_key_password = whatever
 tls: dh_file = /etc/freeradius/certs/dh
 tls: random_file = /etc/freeradius/certs/random
 tls: fragment_size = 1024
 tls: include_length = yes
 tls: check_crl = yes
 tls: check_cert_cn = (null)
 tls: cipher_list = (null)
 tls: check_cert_issuer = (null)


b- là aussi, des variables indéfinies (==NULL), il ne doit pas aimer,
ça serait plutôt 'yes' ou 'no' et une string contenant le listing
des types de chiffrage supportés


rlm_eap_tls: Loading the certificate file as a chain
rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory
rlm_eap_tls: Error reading Trusted root CA list
rlm_eap: Failed to initialize type tls


ça semble directement lié au point a


radiusd.conf[10]: eap: Module instantiation failed.
radiusd.conf[1960] Unknown module eap.
radiusd.conf[1907] Failed to parse authenticate section.

Les certificats sont en place. Si vous le souhaitez, je pourrai
joindre les fichiers radiusd.conf, clients.conf et eap.conf


regarde ça: http://www.dslreports.com/forum/remark,9286052
en espérant que ça t'aide

--
You will be successful in your work.

Re: Freeradius sur Debian

[Patrice OLIVER]

Bonsoir,

J'ai enfin trouvé la cause de mon problème : le répertoire du root CA
n'était pas bon.
Bonne soirée.

:)

Le 10/08/07, Jean-Yves F. Barbier[EMAIL PROTECTED] a écrit :
 Patrice OLIVER a écrit :
  Bonjour,

 salut

  Sur Etch, j'ai installé freeradius à partir des sources (version 1.1.7)
  J'ai décompressé les sources, puis fait un fakeroot dpkg-buildpackage -b -uc
  Cela m'a donné les paquets à installer.
 
  J'ai installé le paquet freeradius-1.1.7-0all_i386.deb
 
  Au premier lancement du daemon, tout est OK.
  J'ai ensuite modifié la configuration pour prendre en compte EAP-TLS
  (source : 
  http://www.nantes-wireless.org/actu/article.php3?id_article=8artsuite=2),
  et j'obtiens le message suivant en faisant freeradius -X -A :

 bon je ne connais pas le fonctionnement de ton pgm, mais certains points
 de la conf semblent ne pas coller en toute logique:

  rlm_eap: Loaded and initialized type leap
   gtc: challenge = Password: 
   gtc: auth_type = PAP
  rlm_eap: Loaded and initialized type gtc
   tls: rsa_key_exchange = no
   tls: dh_key_exchange = yes
   tls: rsa_key_length = 512
   tls: dh_key_length = 512
   tls: verify_depth = 0
   tls: CA_path = (null)

 a- un path NULL ça doit pas le faire '/etc/freeradius/certs/demoCA' ?

   tls: pem_file_type = yes
   tls: private_key_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem
   tls: certificate_file = /etc/freeradius/certs/freeradius.ch-beaune.fr.pem
   tls: CA_file = /etc/freeradius/certs/demoCA/root.pem

 a- là, ça serait plutôt juste 'root.pem'

   tls: private_key_password = whatever
   tls: dh_file = /etc/freeradius/certs/dh
   tls: random_file = /etc/freeradius/certs/random
   tls: fragment_size = 1024
   tls: include_length = yes
   tls: check_crl = yes
   tls: check_cert_cn = (null)
   tls: cipher_list = (null)
   tls: check_cert_issuer = (null)

 b- là aussi, des variables indéfinies (==NULL), il ne doit pas aimer,
  ça serait plutôt 'yes' ou 'no' et une string contenant le listing
  des types de chiffrage supportés

  rlm_eap_tls: Loading the certificate file as a chain
  rlm_eap: SSL error error:02001002:system library:fopen:No such file or 
  directory
  rlm_eap_tls: Error reading Trusted root CA list
  rlm_eap: Failed to initialize type tls

 ça semble directement lié au point a

  radiusd.conf[10]: eap: Module instantiation failed.
  radiusd.conf[1960] Unknown module eap.
  radiusd.conf[1907] Failed to parse authenticate section.
 
  Les certificats sont en place. Si vous le souhaitez, je pourrai
  joindre les fichiers radiusd.conf, clients.conf et eap.conf

 regarde ça: http://www.dslreports.com/forum/remark,9286052
 en espérant que ça t'aide

 --
 You will be successful in your work.