CA klappt, RADIUS nicht

Lebowski · 20. Dezember 2018 um 09:53

Hallo,

ich habe nach der Anleitung in der Doku (http://docs.linuxmuster.net/de/basiskurs/howtos/radius/index.html ) den Radiusserver eingerichtet. In unserem WLan-Controller (Netgear WC9500) habe ich ihn entsprechend angelegt und dem dort eingebauten Capative Port mitgeteilt. Nach Einwahl in die SSID kommt man auf die Anmeldeseite und kann sich erfolgreich mit seinem Benutzernamen anmelden.

Wähle ich anstelle dessen als Authentifzierung RADIUS und gebe den Radiusserver auf meine lm Server an, klappt es nicht sich mit einem Client anzumelden (PEAP, MSCHAPv2).
Woran könnte das liegen?

Ich habe in der /etc/freeradius/clients.conf

client capativePortal {
   ipaddr = 10.10.20.200
   secret = ganzgeheim
}

angegeben. Der shortname capativePortal ist doch nur ein Alias und hat keinen Einfluss auf die Verwendungsart?! Muss ich noch irgendetwas anderes zulassen?

In der Logdatei steht:

Thu Dec 20 11:05:45 2018 : Auth: Login incorrect: [Gjp5] (from client capativePortal port 50 cli 8C-F5-A3-05-0E-39)
Thu Dec 20 11:05:46 2018 : Auth: Login incorrect: [testuser] (from client capativePortal port 0 via TLS tunnel)
Thu Dec 20 11:05:46 2018 : Auth: Login incorrect: [testuser] (from client capativePortal port 116 cli C0-BD-D1-A7-2C-7F)

Besten Dank, Martin

maxEG · 20. Dezember 2018 um 13:13

Hallo Martin,

ich habe da

client localhost {
   ipaddr = 127.0.0.1
   secret = testing123
}

und

client 10.17.2.0/24 {
   secret = wasauchimmer
   shortname = name
}

stehen. 10.17.2.x ist mein Blaues Netz.

LG
Max

zefanja · 20. Dezember 2018 um 13:53

Hallo @Lebowski,

sind alle Ports freigebeben (auf dem LM Server, aber auch in der Firewall)? Klappt die Abfrage des LDAPs (mit radtest)?

Klappt die Authentifizierung mit EAP-TTLS? Dazu brauchst du das Programm eapol_test. Mehr steht in einem Artikel, den ich letztens zu dem Thema geschrieben habe.

Am besten startest du mal den freeradius Server im Debug-Modus. Da findet man meist einen Hinweis auf die Fehlerquelle (freeradius -X).

vG Stephan

Lebowski · 20. Dezember 2018 um 21:14

Hallo und dnake für die Antworten,

die Abfrage mit radtest klappt. Verwene ich den Radiusserver für das Capative Portal klappt ja auch alles.

Ich habe kein Zertifikat erzeugt. Benötige ich das für MSchap?

Morgen debugge ich noch mal.

besten Gruß, Martin

zefanja · 20. Dezember 2018 um 22:34

Hallo Martin,

ok. Wie gesagt, starte mal den RADIUS-Server im Debug-Modus und schau, was er ausgibt. Dort wirst du ziemlich sicher den Fehler finden.

Meinst du damit WPA Enterprise (802.1X)? Mit welchem Client hast du versucht dich zu verbinden? macOS, Windows, Android, …?

vG Stephan

Lebowski · 21. Dezember 2018 um 08:30

Hallo,

ich habe gerade freeradius im debug-Modus gestartet. Die ganze Ausgabe ist im Anhang (debug_freeradius.pdf (61,3 KB)). Evtl. ist dies die entscheidende Zeile:

[mschap] No Cleartext-Password configured.  Cannot create LM-Password.
[mschap] No Cleartext-Password configured.  Cannot create NT-Password.
[mschap] Creating challenge hash with username: testuser
[mschap] Told to do MS-CHAPv2 for testuser with NT-Password
[mschap] FAILED: No NT/LM-Password.  Cannot perform authentication.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject
[eap] Freeing handler
++[eap] returns reject
Failed to authenticate the user.
Login incorrect: [testuser] (from client capativePortal port 0 via TLS tunnel)

.
Hier nochmal die Konfiguration aus /etc/freeradius/eap.conf

eap {
	default_eap_type = peap
	timer_expire     = 60
	ignore_unknown_eap_types = no
	cisco_accounting_username_bug = no
	max_sessions = 4096
	md5 {
	}
	leap {
	}
	gtc {
		auth_type = PAP
	}
	tls {
		certdir = ${confdir}/certs
		cadir = ${confdir}/certs
		private_key_password = whatever
		private_key_file = ${certdir}/server.key
		certificate_file = ${certdir}/server.pem
		CA_file = ${cadir}/ca.pem
		dh_file = ${certdir}/dh
		random_file = /dev/urandom
		CA_path = ${cadir}
		cipher_list = "DEFAULT"
		make_cert_command = "${certdir}/bootstrap"
		cache {
		      enable = no
		      lifetime = 24 # hours
		      max_entries = 255
		}
		verify {
		}
	}
	ttls {
		default_eap_type = md5
		copy_request_to_tunnel = no
		use_tunneled_reply = no
		virtual_server = "inner-tunnel"
	}
	peap {
		default_eap_type = mschapv2
		copy_request_to_tunnel = no
		use_tunneled_reply = no
		virtual_server = "inner-tunnel"
	}
	mschapv2 {
	}
}

Vielen Dank, Martin

zefanja · 21. Dezember 2018 um 08:52

Hallo Martin,

welche Freeradius-Version verwendest du? 3.0 oder 2.x? Falls du 3.0 verwendest, musst du folgendes ändern:

update {
            control:Password-With-Header    += 'userPassword'
            control:NT-Password             := 'sambaNTPassword'
            ...
}

in .../mods-enabled/ldap.

vG Stephan

Lebowski · 21. Dezember 2018 um 18:44

Hallo,

ich verwende die Version 2.1.10 …

Danke, Martin

zefanja · 21. Dezember 2018 um 22:29

Hallo Martin,

kannst du mal bitte die folgenden Dateien schicken?

radiusd.conf
eap.conf
sites-eanabled/innner-tunnel
sites-eanabled/default

Danke
vG Stephan

Lebowski · 22. Dezember 2018 um 07:35

Hallo,

die Dateien sind im Anhang freeradius.zip (3,1 KB)

Vielen Dank für deine Hilfe, Martin

Lebowski · 3. Januar 2019 um 09:52

Neues Jahr, neues Glück

Habe in der /etc/freeradius/sites-available/inner-tunnel war bei in der Sektion authorize { ldap noch auskommentiert gehabt, jetzt klappt’s.

Wunder mich nur, warum das Captiv Portal mit dieser Einstellung klappte.

Besten Gruß, Martin

zefanja · 3. Januar 2019 um 10:08

Das hängt mit dem gewählten Protokoll (vom Client bzw. Captive Portal) zusammen. Windows fragt z.B. mit MSCHAPv2 während ein anderer Client z.B. EAP-TTLS benutzt.

vG Stephan