forum.opennet.ru - "Как настроить freeradius 802.1x" (16)

"Как настроить freeradius 802.1x"

Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как настроить freeradius 802.1x"	+/–
Сообщение от letnab (ok), 29-Июн-16, 09:05
Привет Всем. Прошу помощи, так как сломал всю голову. Необходимо реализовать авторизацию по 802.1x. Радиус на centos смотрит в AD. Всё вроде как настроено, НО, вылетает WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! WARNING: !! EAP session for state 0x3e833be03884222b... did not finish! WARNING: !! Please read http://wiki.freeradius.org/guide/Certificate_Compatibility WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Удалил старые сертификаты, сделал новые по этом гайду. Теперь вылетает Sending Access-Reject of id 52 to 10.10.1.198 port 1838 EAP-Message = 0x04090004 Message-Authenticator = 0x00000000000000000000000000000000 Waking up in 3.8 seconds. Делал кто то подобное? Может что то переделать??
Ответить \| Правка \| Cообщить модератору

Оглавление

Поднял радиус на debian Проблема осталась ругается на отсутствие CA сертификата, letnab (ok), 10:15 , 29-Июн-16, (1)

А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где лежит Ваш, stalker37 (ok), 10:44 , 29-Июн-16, (2)

в файле etc freeradius eap conf в секции tlscertdir confdir certscadir , letnab (ok), 10:53 , 29-Июн-16, (3)

В логах нет ругани на чтение сертификатов права Как вариант запустить с дебаго, stalker37 (ok), 11:20 , 29-Июн-16, (4)

Пересобрал сертификаты как написано тут https github com FreeRADIUS freeradius, letnab (ok), 11:31 , 29-Июн-16, (5)

suffix No in User-Name TFT LOCAL ADMWWW , looking up realm NULL suffix , stalker37 (ok), 11:34 , 29-Июн-16, (6)

А куда копать , letnab (ok), 11:35 , 29-Июн-16, (7)

proxy confтипа realm XXX , eRIC (ok), 11:52 , 29-Июн-16, (8)

realm LOCAL type radius authhost LOCAL accthost LOCAL Sending Access-Ch, letnab (ok), 12:44 , 29-Июн-16, (9)

значение MTU пробовали уменьшать , eRIC (ok), 19:03 , 29-Июн-16, (10)

Нет не пробовал До какого значения стоит уменьшить , letnab (ok), 22:37 , 29-Июн-16, (11)

Попробуй для эксперимента до 1000, stalker37 (ok), 16:57 , 30-Июн-16, (12)

Всё ровно не проходит Есть какой то рабочий конфиг или iso образ системы Что, letnab (ok), 08:35 , 01-Июл-16, (13)

Всё настроил Работает Но не могу различать по группам Если группа имеем латинс, letnab (ok), 09:03 , 05-Июл-16, (14)

Настроил И снова трудность Если в AD поставить галочку требовать смену паро, letnab (ok), 16:43 , 07-Июл-16, (15)

И как же, поделись с людми, Дмитрий (??), 13:14 , 20-Май-19, (16)

Сообщения [Сортировка по времени | RSS]

1. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 10:15

Поднял радиус на debian. Проблема осталась.
ругается на отсутствие CA сертификата
[peap] processing EAP-TLS
  TLS Length 7
[peap] Length Included
[peap] eaptls_verify returned 11
[peap] <<< TLS 1.0 Alert [length 0002], fatal unknown_ca
TLS Alert read:fatal:unknown CA
    TLS_accept: failed in SSLv3 read client certificate A
rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
SSL: SSL_read failed inside of TLS (-1), TLS session fails.
TLS receive handshake failed during operation
[peap] eaptls_process returned 4
[peap] EAPTLS_OTHERS
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.

/etc/freeradius/certs# ls
ca.pem  dh  server.key  server.pem
куда копнуть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как настроить freeradius 802.1x" +/–

Сообщение от stalker37 (ok), 29-Июн-16, 10:44

> /etc/freeradius/certs# ls
> ca.pem  dh  server.key  server.pem
> куда копнуть?
А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где лежит Ваш корневой сертификат радиусу?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 10:53

>> /etc/freeradius/certs# ls
>> ca.pem  dh  server.key  server.pem
>> куда копнуть?
> А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где
> лежит Ваш корневой сертификат радиусу?
в файле /etc/freeradius/eap.conf в секции tls
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как настроить freeradius 802.1x" +/–

Сообщение от stalker37 (ok), 29-Июн-16, 11:20

В логах нет ругани на чтение сертификатов (права)?
Как вариант запустить с дебагом и смотреть вдумчиво в простыню.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 11:31

> В логах нет ругани на чтение сертификатов (права)?
> Как вариант запустить с дебагом и смотреть вдумчиво в простыню.
Пересобрал сертификаты как написано тут https://github.com/FreeRADIUS/freeradius-server/tree/v3.0.x/...
импортировал CA и client.p12 на виндовую тачку. В дебаге вот что
++[eap] returns handled
Sending Access-Challenge of id 101 to 10.10.1.198 port 1838
        EAP-Message = 0x010502671900050500038201010067ab6b4bcb557abd09f626556d2953edf372091a724dece073dcf06815e270ebe79efb055804554ea76725cf9a2b1b2336171bf6e7e8308dba09d0e2b48703a79dc68770dcbe275ce0a2b22b51a164dda921a2e14e2656fad87e42ea7c54cbc71533e681c6663124355083bf1a86fb3e6087d72355942e53404174587009a1bb515e237b93d3f796c203fabba72b1b4924f6f7b0440efb899f6a0e6ae941ce7f43c87648cab0ab03db82335f56f40d73577bb4dd0ef181d49c24a3c0da28971985e40dcd329d46f75ce2c3c712a0f727e81511e608019b5c804851d1e855b89e5ce3898f6ed7661182c07a5f11e13e
        EAP-Message = 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
        EAP-Message = 0x2cb3b7b09e718811fca7c53348b186184a3987a60e1918d44221c1e703fc9dcf1be93e8f3670737d2e4d5a8f77c24b0ee50a66bce1b096b822a3c2cf9fd23e68e740b67bbe9517059bd880ca21665a6cda1589a64774ab4322bd2e85b77992e7a745c81516030100040e000000
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x5215bd595110a499c72ac68b414a26d0
Finished request 3.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 10.209.1.198 port 1838, id=102, length=212
        User-Name = "TFT.LOCAL\\ADMWWW"
        Framed-MTU = 1450
        EAP-Message = 0x020500061900
        Message-Authenticator = 0x00ca6fe9fcbd1d29467f80d2c6877051
        NAS-IP-Address = 10.10.1.198
        NAS-Identifier = "SW-1-DD"
        NAS-Port = 16781313
        NAS-Port-Id = "slot=1;subslot=0;port=1;vlanid=1"
        NAS-Port-Type = Ethernet
        Service-Type = Framed-User
        Framed-Protocol = PPP
        Calling-Station-Id = "12-F7-28-2A-F4-F7"
        Acct-Session-Id = "10004011051101010"
        State = 0x5215bd595110a499c72ac68b414a26d0
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[auth_log]      expand: /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629
[auth_log] /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629
[auth_log]      expand: %t -> Wed Jun 29 12:26:31 2016
++[auth_log] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 5 length 6
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] Received TLS ACK
[peap] ACK handshake fragment handler
[peap] eaptls_verify returned 1
[peap] eaptls_process returned 13
[peap] EAPTLS_HANDLED
++[eap] returns handled
Sending Access-Challenge of id 102 to 10.209.1.198 port 1838
        EAP-Message = 0x010600061900
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x5215bd595613a499c72ac68b414a26d0
Finished request 4.
Going to the next request
Waking up in 4.8 seconds.
Cleaning up request 0 ID 98 with timestamp +62
Cleaning up request 1 ID 99 with timestamp +62
Cleaning up request 2 ID 100 with timestamp +62
Cleaning up request 3 ID 101 with timestamp +62
Cleaning up request 4 ID 102 with timestamp +62
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0x5215bd595613a499 did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как настроить freeradius 802.1x" +/–

Сообщение от stalker37 (ok), 29-Июн-16, 11:34

[suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
[suffix] No such realm "NULL"
Вот это скорее всего и первопричина..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 11:35

> [suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL
> [suffix] No such realm "NULL"
> Вот это скорее всего и первопричина..
А куда копать?!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как настроить freeradius 802.1x" +/–

Сообщение от eRIC (ok), 29-Июн-16, 11:52

> А куда копать?!
proxy.conf
типа:
realm XXX {
...
}

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 12:44

>> А куда копать?!
> proxy.conf
> типа:
> realm XXX {
> ...
> }
realm LOCAL {
    type        = radius
    authhost    = LOCAL
    accthost    = LOCAL
}
Sending Access-Challenge of id 117 to 10.10.1.198 port 1838
        EAP-Message = 0x010600411900140301000101160301003080fae6d332a26ddc2b40a40274a637daafc87ad77491bb9de08490bc35eae1dc2d7bcc38438b1dc949a31c2b3f7e9cd2
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x74f8018470fe1819a9a3d7a463b1af61
Finished request 4.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 113 with timestamp +11
Cleaning up request 1 ID 114 with timestamp +11
Cleaning up request 2 ID 115 with timestamp +11
Cleaning up request 3 ID 116 with timestamp +11
Cleaning up request 4 ID 117 with timestamp +11
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0x74f8018470fe1819 did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ready to process requests.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Как настроить freeradius 802.1x" +/–

Сообщение от eRIC (ok), 29-Июн-16, 19:03

значение MTU пробовали уменьшать?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 29-Июн-16, 22:37

> значение MTU пробовали уменьшать?
Нет не пробовал. До какого значения стоит уменьшить?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Как настроить freeradius 802.1x" +/–

Сообщение от stalker37 (ok), 30-Июн-16, 16:57

>> значение MTU пробовали уменьшать?
> Нет не пробовал. До какого значения стоит уменьшить?
Попробуй для эксперимента до 1000

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 01-Июл-16, 08:35

>>> значение MTU пробовали уменьшать?
>> Нет не пробовал. До какого значения стоит уменьшить?
> Попробуй для эксперимента до 1000
Всё ровно не проходит. Есть какой то рабочий конфиг? или iso образ системы?? Что то в голову не лезит ничего...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 05-Июл-16, 09:03

Всё настроил. Работает. Но не могу различать по группам.
Если группа имеем латинское название, то Гуд. типа DepIT == TRUE
а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Как настроить freeradius 802.1x" +/–

Сообщение от letnab (ok), 07-Июл-16, 16:43

> Всё настроил. Работает. Но не могу различать по группам.
> Если группа имеем латинское название, то Гуд. типа DepIT == TRUE
> а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?!
Настроил...
И снова трудность... Если в AD поставить галочку требовать смену пароля при входе в систему, то радиус выдаёт
Exec-Program output: Must change password (0xc0000224)
Exec-Program-Wait: plaintext: Must change password (0xc0000224)
Exec-Program: returned: 1
[mschap] External script failed.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
MSCHAP Failure

Sending Access-Reject of id 191 to 10.10.1.198 port 1838
        EAP-Message = 0x040a0004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.7 seconds.
Хотел сделать как тут https://fossies.org/linux/misc/freeradius-server-3.0.11.tar.... Но это для версии >=3.x.x как быть??

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Как настроить freeradius 802.1x" +/–

Сообщение от Дмитрий (??), 20-Май-19, 13:14

> Настроил...
И как же, поделись с людми

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как настроить freeradius 802.1x"	+/–
Сообщение от letnab (ok), 29-Июн-16, 10:15
Поднял радиус на debian. Проблема осталась. ругается на отсутствие CA сертификата [peap] processing EAP-TLS TLS Length 7 [peap] Length Included [peap] eaptls_verify returned 11 [peap] <<< TLS 1.0 Alert [length 0002], fatal unknown_ca TLS Alert read:fatal:unknown CA TLS_accept: failed in SSLv3 read client certificate A rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca SSL: SSL_read failed inside of TLS (-1), TLS session fails. TLS receive handshake failed during operation [peap] eaptls_process returned 4 [peap] EAPTLS_OTHERS [eap] Handler failed in EAP/peap [eap] Failed in EAP select ++[eap] returns invalid Failed to authenticate the user. /etc/freeradius/certs# ls ca.pem dh server.key server.pem куда копнуть?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Как настроить freeradius 802.1x"	+/–
	Сообщение от stalker37 (ok), 29-Июн-16, 10:44
	> /etc/freeradius/certs# ls > ca.pem dh server.key server.pem > куда копнуть? А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где лежит Ваш корневой сертификат радиусу?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 29-Июн-16, 10:53
	>> /etc/freeradius/certs# ls >> ca.pem dh server.key server.pem >> куда копнуть? > А Вы в конфигурацию радиуса прописали Ваш CA, в смысле рассказали, где > лежит Ваш корневой сертификат радиусу? в файле /etc/freeradius/eap.conf в секции tls certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Как настроить freeradius 802.1x"	+/–
	Сообщение от stalker37 (ok), 29-Июн-16, 11:20
	В логах нет ругани на чтение сертификатов (права)? Как вариант запустить с дебагом и смотреть вдумчиво в простыню.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 29-Июн-16, 11:31
	> В логах нет ругани на чтение сертификатов (права)? > Как вариант запустить с дебагом и смотреть вдумчиво в простыню. Пересобрал сертификаты как написано тут https://github.com/FreeRADIUS/freeradius-server/tree/v3.0.x/... импортировал CA и client.p12 на виндовую тачку. В дебаге вот что ++[eap] returns handled Sending Access-Challenge of id 101 to 10.10.1.198 port 1838 EAP-Message = 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 EAP-Message = 0xcc6da4f785acd236c9b7ab85077aed93a6160301014b0c0001470300174104d914c404c2fff9ed5ac8652beda6901e5f1bd3d4e9e20bd58738d0afe4de176fd1a4308a567fc5ca09696408455dd0e46c3a6d02c13b180c6b16a596b3e019fc01003eec94953a73484ed765e4a83824218103468cc4e4016178c06999a8a71cfcae5724a8809c3e1cdc4982dd4bddac857788a56bb3f720e8694e2423bb08c8298dcefbed9ed1b66ea9e409c569d4e9dabdb89069ae340272f7e37b12e32d615b0e0281a6deccfb6a66cc198aaab9d5a332a6752671ce1ef0d37dc30d5a168a12c49de3495077f049e80c0323ea854f410eb63255f01b9bd2dbe8c0b38a EAP-Message = 0x2cb3b7b09e718811fca7c53348b186184a3987a60e1918d44221c1e703fc9dcf1be93e8f3670737d2e4d5a8f77c24b0ee50a66bce1b096b822a3c2cf9fd23e68e740b67bbe9517059bd880ca21665a6cda1589a64774ab4322bd2e85b77992e7a745c81516030100040e000000 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x5215bd595110a499c72ac68b414a26d0 Finished request 3. Going to the next request Waking up in 4.9 seconds. rad_recv: Access-Request packet from host 10.209.1.198 port 1838, id=102, length=212 User-Name = "TFT.LOCAL\\ADMWWW" Framed-MTU = 1450 EAP-Message = 0x020500061900 Message-Authenticator = 0x00ca6fe9fcbd1d29467f80d2c6877051 NAS-IP-Address = 10.10.1.198 NAS-Identifier = "SW-1-DD" NAS-Port = 16781313 NAS-Port-Id = "slot=1;subslot=0;port=1;vlanid=1" NAS-Port-Type = Ethernet Service-Type = Framed-User Framed-Protocol = PPP Calling-Station-Id = "12-F7-28-2A-F4-F7" Acct-Session-Id = "10004011051101010" State = 0x5215bd595110a499c72ac68b414a26d0 # Executing section authorize from file /etc/freeradius/sites-enabled/default +- entering group authorize {...} ++[preprocess] returns ok [auth_log] expand: /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d -> /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629 [auth_log] /var/log/freeradius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/freeradius/radacct/10.10.1.198/auth-detail-20160629 [auth_log] expand: %t -> Wed Jun 29 12:26:31 2016 ++[auth_log] returns ok ++[chap] returns noop ++[mschap] returns noop ++[digest] returns noop [suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] returns noop [eap] EAP packet type response id 5 length 6 [eap] Continuing tunnel setup. ++[eap] returns ok Found Auth-Type = EAP # Executing group from file /etc/freeradius/sites-enabled/default +- entering group authenticate {...} [eap] Request found, released from the list [eap] EAP/peap [eap] processing type peap [peap] processing EAP-TLS [peap] Received TLS ACK [peap] ACK handshake fragment handler [peap] eaptls_verify returned 1 [peap] eaptls_process returned 13 [peap] EAPTLS_HANDLED ++[eap] returns handled Sending Access-Challenge of id 102 to 10.209.1.198 port 1838 EAP-Message = 0x010600061900 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x5215bd595613a499c72ac68b414a26d0 Finished request 4. Going to the next request Waking up in 4.8 seconds. Cleaning up request 0 ID 98 with timestamp +62 Cleaning up request 1 ID 99 with timestamp +62 Cleaning up request 2 ID 100 with timestamp +62 Cleaning up request 3 ID 101 with timestamp +62 Cleaning up request 4 ID 102 with timestamp +62 WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! WARNING: !! EAP session for state 0x5215bd595613a499 did not finish! WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Ready to process requests.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Как настроить freeradius 802.1x"	+/–
Сообщение от stalker37 (ok), 29-Июн-16, 11:34
[suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL [suffix] No such realm "NULL" Вот это скорее всего и первопричина..
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 29-Июн-16, 11:35
	> [suffix] No '@' in User-Name = "TFT.LOCAL\ADMWWW", looking up realm NULL > [suffix] No such realm "NULL" > Вот это скорее всего и первопричина.. А куда копать?!
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Как настроить freeradius 802.1x"	+/–
	Сообщение от eRIC (ok), 29-Июн-16, 11:52
	> А куда копать?! proxy.conf типа: realm XXX { ... }
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 29-Июн-16, 12:44
	>> А куда копать?! > proxy.conf > типа: > realm XXX { > ... > } realm LOCAL { type = radius authhost = LOCAL accthost = LOCAL } Sending Access-Challenge of id 117 to 10.10.1.198 port 1838 EAP-Message = 0x010600411900140301000101160301003080fae6d332a26ddc2b40a40274a637daafc87ad77491bb9de08490bc35eae1dc2d7bcc38438b1dc949a31c2b3f7e9cd2 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x74f8018470fe1819a9a3d7a463b1af61 Finished request 4. Going to the next request Waking up in 4.9 seconds. Cleaning up request 0 ID 113 with timestamp +11 Cleaning up request 1 ID 114 with timestamp +11 Cleaning up request 2 ID 115 with timestamp +11 Cleaning up request 3 ID 116 with timestamp +11 Cleaning up request 4 ID 117 with timestamp +11 WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! WARNING: !! EAP session for state 0x74f8018470fe1819 did not finish! WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Ready to process requests.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Как настроить freeradius 802.1x"	+/–
	Сообщение от eRIC (ok), 29-Июн-16, 19:03
	значение MTU пробовали уменьшать?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 29-Июн-16, 22:37
	> значение MTU пробовали уменьшать? Нет не пробовал. До какого значения стоит уменьшить?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Как настроить freeradius 802.1x"	+/–
	Сообщение от stalker37 (ok), 30-Июн-16, 16:57
	>> значение MTU пробовали уменьшать? > Нет не пробовал. До какого значения стоит уменьшить? Попробуй для эксперимента до 1000
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 01-Июл-16, 08:35
	>>> значение MTU пробовали уменьшать? >> Нет не пробовал. До какого значения стоит уменьшить? > Попробуй для эксперимента до 1000 Всё ровно не проходит. Есть какой то рабочий конфиг? или iso образ системы?? Что то в голову не лезит ничего...
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 05-Июл-16, 09:03
	Всё настроил. Работает. Но не могу различать по группам. Если группа имеем латинское название, то Гуд. типа DepIT == TRUE а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?!
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Как настроить freeradius 802.1x"	+/–
	Сообщение от letnab (ok), 07-Июл-16, 16:43
	> Всё настроил. Работает. Но не могу различать по группам. > Если группа имеем латинское название, то Гуд. типа DepIT == TRUE > а Департамент ИТ == FALSE. Вероятно надо сменить кодировку?! Настроил... И снова трудность... Если в AD поставить галочку требовать смену пароля при входе в систему, то радиус выдаёт Exec-Program output: Must change password (0xc0000224) Exec-Program-Wait: plaintext: Must change password (0xc0000224) Exec-Program: returned: 1 [mschap] External script failed. [mschap] FAILED: MS-CHAP2-Response is incorrect ++[mschap] returns reject MSCHAP Failure Sending Access-Reject of id 191 to 10.10.1.198 port 1838 EAP-Message = 0x040a0004 Message-Authenticator = 0x00000000000000000000000000000000 Waking up in 3.7 seconds. Хотел сделать как тут https://fossies.org/linux/misc/freeradius-server-3.0.11.tar.... Но это для версии >=3.x.x как быть??
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Как настроить freeradius 802.1x"	+/–
	Сообщение от Дмитрий (??), 20-Май-19, 13:14
	> Настроил... И как же, поделись с людми
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору