FreeRADIUS auf dem lmn7

Ma_Sch · 10. August 2021 um 14:50

Hallo,

ich habe FreeRADIUS nach der Anleitung Netzwerkzugriff über Radius — linuxmuster.net 7.0 beta Dokumentation eingerichtet.
Ich kann mich mit radtest auf der Konsole Authentifizieren. Anfragen von unserem WLan-Controller werden aber abgelehnt. (Er ist in der clients.conf)

Aus den debug-Ausgaben werde ich nicht ganz schlau. Ich habe die gesamte Ausgabe einmal angehangen.

Dort steht

pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type     (9)

pap: WARNING: Authentication will fail unless a „known good“ password is available

Allerdings steht diese Ausgabe auch bei der erfolgreichen Authentifizierung mit radtest.

(9) eap: Expiring EAP session with state 0xcfa27713cc526e00
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! EAP session with state 0xcfa27713cc526e0013767f5546bb62c5 did not finish!                  !!
!! Please read http://wiki.freeradius.org/guide/Certificate_Compatibility     !!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
(9) eap: Expiring EAP session with state 0x0d91bdf20e17a4f8

und später

(15) mschap: WARNING: No Cleartext-Password configured.  Cannot create NT-Password
(15) mschap: WARNING: No Cleartext-Password configured.  Cannot create LM-Password
(15) mschap: Creating challenge hash with username: testBenutzer
(15) mschap: Client is using MS-CHAPv2
(15) mschap: ERROR: FAILED: No NT/LM-Password.  Cannot perform authentication
(15) mschap: ERROR: MS-CHAP2-Response is incorrect

Kann mir jemand weiter helfen?
auth_klappt_nicht.txt.pdf (161,9 KB)

Ma_Sch · 10. August 2021 um 18:40

Hallo,
das Problem war offensichtlich, dass man die Domäne in den Zeilen

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of=DOMÄNE\wifi --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"

Mit Suffix angeben muss, also MEINESCHULE.LOKAL. Dann klappt es.

MachtDochNix · 11. August 2021 um 09:59

Hallo Martin,

wir haben gestern an der Support-Line mit einander gesprochen, gehe ich recht in der Annahme, dass sich deine Anfrage damit erledigt hat?

@cweikl: Wenn ich das jetzt also richtig verstehe, geht es mit der Authentifizierung über den Freeradius der OPNsense mittlerweile. Das sollte dann in die Doku. @Ma_Sch: Wie siehst du das?

Lieben Gruß

Thorsten

Ma_Sch · 11. August 2021 um 16:15

Hallo,

nein, ich wusste gar nicht, dass es so etwas gibt.

Wir nutzen OPNsense nicht, da ist der Server die einzige Möglichkeits (oder ein Docker).

Jetzt klappt es auf jeden Fall.

ersin · 13. August 2021 um 14:58

Hallo Thorsten,

Also das interessiert mich auch. Ging ja vormals nicht, weil irgendein plug-in fehlen würde.
Gibt es das jetzt? Gibts dazu ein mini-how-to?

Grüße, sino

MachtDochNix · 14. August 2021 um 05:34

Hallo Sino,

hier der Link aus dem ich entnehmen würde das es geht:

linuxmuster.net - OPNsense - Freeradius auf GitHub

Magst du das mal bitte nachstellen? Würde mich sehr freuen und dem Doku-Team Arbeit abnehmen, wenn du uns das Resultat zukommen lassen würdest.

Danke!

Beste Grüße

Thorsten

wilfried · 14. August 2021 um 07:17

Hallo Sino,

der Knackpunkt war bisher, dass die Zusammenarbeit von OPNsense und Unifi nicht funktionierte:

Bevor du Zeit in die OPNsense-Lösung investierst, solltest du abklären, ob die Voraussetzungen sich geändert haben.

Viele Grüße

Wilfried