ich habe nach der Anleitung in der Doku (http://docs.linuxmuster.net/de/basiskurs/howtos/radius/index.html ) den Radiusserver eingerichtet. In unserem WLan-Controller (Netgear WC9500) habe ich ihn entsprechend angelegt und dem dort eingebauten Capative Port mitgeteilt. Nach Einwahl in die SSID kommt man auf die Anmeldeseite und kann sich erfolgreich mit seinem Benutzernamen anmelden.
Wähle ich anstelle dessen als Authentifzierung RADIUS und gebe den Radiusserver auf meine lm Server an, klappt es nicht sich mit einem Client anzumelden (PEAP, MSCHAPv2).
Woran könnte das liegen?
angegeben. Der shortname capativePortal ist doch nur ein Alias und hat keinen Einfluss auf die Verwendungsart?! Muss ich noch irgendetwas anderes zulassen?
In der Logdatei steht:
Thu Dec 20 11:05:45 2018 : Auth: Login incorrect: [Gjp5] (from client capativePortal port 50 cli 8C-F5-A3-05-0E-39)
Thu Dec 20 11:05:46 2018 : Auth: Login incorrect: [testuser] (from client capativePortal port 0 via TLS tunnel)
Thu Dec 20 11:05:46 2018 : Auth: Login incorrect: [testuser] (from client capativePortal port 116 cli C0-BD-D1-A7-2C-7F)
sind alle Ports freigebeben (auf dem LM Server, aber auch in der Firewall)? Klappt die Abfrage des LDAPs (mit radtest)?
Klappt die Authentifizierung mit EAP-TTLS? Dazu brauchst du das Programm eapol_test. Mehr steht in einem Artikel, den ich letztens zu dem Thema geschrieben habe.
Am besten startest du mal den freeradius Server im Debug-Modus. Da findet man meist einen Hinweis auf die Fehlerquelle (freeradius -X).
ich habe gerade freeradius im debug-Modus gestartet. Die ganze Ausgabe ist im Anhang (debug_freeradius.pdf (61,3 KB)). Evtl. ist dies die entscheidende Zeile:
[mschap] No Cleartext-Password configured. Cannot create LM-Password.
[mschap] No Cleartext-Password configured. Cannot create NT-Password.
[mschap] Creating challenge hash with username: testuser
[mschap] Told to do MS-CHAPv2 for testuser with NT-Password
[mschap] FAILED: No NT/LM-Password. Cannot perform authentication.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
[eap] Freeing handler
++[eap] returns reject
Failed to authenticate the user.
Login incorrect: [testuser] (from client capativePortal port 0 via TLS tunnel)
.
Hier nochmal die Konfiguration aus /etc/freeradius/eap.conf
Das hängt mit dem gewählten Protokoll (vom Client bzw. Captive Portal) zusammen. Windows fragt z.B. mit MSCHAPv2 während ein anderer Client z.B. EAP-TTLS benutzt.