Freeradius läuft nicht nach Update 7.1 -> 7.2

DanielGross · 29. August 2024 um 11:56

Hallo Tobi,

danke für deinen Zuspruch.
Ich habe das Update nochmals gemacht und jetzt läuft der Server wieder. Es gab ein Problem bei Samba. Die Rechte von /var/lib/samba/ntp_signd waren auf 0640 und mussten 0750 sein.

Aber: Mein Freeradius läuft nicht. Ich habe die Paketquellen aktualisiert (FreeRADIUS Packages | NetworkRADIUS) und auch die Einstellungen der Anleitung überprüft. Ebenfalls habe ich schon auf 7.1 Radius 3.2 im Einsatz gehabt.

Wenn ich mich mit Radius anmelden will, z.B. mit dem Handy, dann kommt „Zeitüberschreitung“ als Fehlermeldung.

Kann jemand helfen?

VG Daniel

Michael · 29. August 2024 um 12:36

Versuch mal
freeradius -X
Dann startet der im Debug Mode und gibt Fehlermeldungen aus….

maxim · 29. August 2024 um 15:23

Nett gemeinter Denkanstoß:

Ist eine Glaubens-/Philosophiefrage: aber aus solchen Gründen sollten nicht mehr alle Dienste auf dem Schulserver konsolodiert werden, sondern pro Dienst eine extra VM oder einen extra Container haben. So wäre man etwas undabhängiger von größeren Änderungen in den Paket-Abhängigkeiten, etc …

DanielGross · 29. August 2024 um 19:42

Werd ich morgen früh anschauen. Danke für den Tipp.

DanielGross · 30. August 2024 um 11:36

Hallo Michael,

ich habe Probleme mit dem mschap-Modul vom freeradius.
Das ist die relevante Fehlermeldung (glaube ich zumindest).

Could not parse linuxmuster.lanwifi into separate domain/name parts!
free(): invalid pointer
===============================================================
INTERNAL ERROR: Signal 6: Aborted in pid 4678 (4.15.13-Ubuntu)
If you are running a recent Samba version, and if you think this problem is not                                                                                                                  yet fixed in the latest versions, please consider reporting this bug, see https:                                                                                                                 //wiki.samba.org/index.php/Bug_Reporting
===============================================================
PANIC (pid 4678): Signal 6: Aborted in 4.15.13-Ubuntu
BACKTRACE: 15 stack frames:
 #0 /lib/x86_64-linux-gnu/libsamba-util.so.0(log_stack_trace+0x34) [0x7f5cdfedd8                                                                                                                 74]
 #1 /lib/x86_64-linux-gnu/libsamba-util.so.0(smb_panic+0xd) [0x7f5cdfedde2d]
 #2 /lib/x86_64-linux-gnu/libsamba-util.so.0(+0x1dec5) [0x7f5cdfeddec5]
 #3 /lib/x86_64-linux-gnu/libc.so.6(+0x42520) [0x7f5cdf9c6520]
 #4 /lib/x86_64-linux-gnu/libc.so.6(pthread_kill+0x12c) [0x7f5cdfa1a9fc]
 #5 /lib/x86_64-linux-gnu/libc.so.6(raise+0x16) [0x7f5cdf9c6476]
 #6 /lib/x86_64-linux-gnu/libc.so.6(abort+0xd3) [0x7f5cdf9ac7f3]
 #7 /lib/x86_64-linux-gnu/libc.so.6(+0x89676) [0x7f5cdfa0d676]
 #8 /lib/x86_64-linux-gnu/libc.so.6(+0xa0cfc) [0x7f5cdfa24cfc]
 #9 /lib/x86_64-linux-gnu/libc.so.6(+0xa2a44) [0x7f5cdfa26a44]
 #10 /lib/x86_64-linux-gnu/libc.so.6(free+0x73) [0x7f5cdfa29453]
 #11 /usr/bin/ntlm_auth(main+0xc1d) [0x558272e812cd]
 #12 /lib/x86_64-linux-gnu/libc.so.6(+0x29d90) [0x7f5cdf9add90]
 #13 /lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0x80) [0x7f5cdf9ade40]
 #14 /usr/bin/ntlm_auth(_start+0x25) [0x558272e815e5]
Can not dump core: corepath not set up
(28) mschap: ERROR: Program returned code (1) and output '\? (0xc000000d)'
(28) mschap: External script failed
(28) mschap: ERROR: External script says: \? (0xc000000d)
(28) mschap: ERROR: MS-CHAP2-Response is incorrect
(28) eap_mschapv2:     [mschap] = reject
(28) eap_mschapv2:   } # authenticate = reject

Die Fehlermeldungen gehen dann sinngemäß weiter, dass ich abgelehnt wurde. Das sollte aber alles nur eine Folge des obigen Fehlers ein…

Kann mir jemand helfen?

VG Daniel

PS:

radtest name passwort server 1812 secret

ergibt

Sent Access-Request Id 112 from 0.0.0.0:36213 to 10.0.0.1:1812 length 75
        User-Name = "..."
        User-Password = "..."
        NAS-IP-Address = 10.0.0.1
        NAS-Port = 1812
        Message-Authenticator = 0x00
        Cleartext-Password = "...."
Received Access-Reject Id 112 from 10.0.0.1:1812 to 10.0.0.1:36213 length 38
        Message-Authenticator = 0x805d2fb31529549e5636a98d72782a8f
(0) -: Expected Access-Accept got Access-Reject

DanielGross · 30. August 2024 um 11:59

Hallo zusammen,

stimmt das so:
root@server:~# ls -l /usr/bin/ntlm_auth
-rwxr-xr-x 1 root root 88448 Jan 5 2024 /usr/bin/ntlm_auth

Wenn ich in der mschap-Datei vom Radius die Zeile mit ntlm_auth auskommentiere und stattdessen etwas weiter unten winbind aktiviere, dann kann ich mich anmelden.

Sollte aber nicht so sein, oder?

VG Daniel

Michael · 30. August 2024 um 14:32

Das ist bei mir identisch.
Wir nutzen auch ntlm_auth aber bei Dir scheint das Problem ja direkt ganz oben in der Meldung zu stecken: Could not parse linuxmuster.lanwifi – gibt es diese Datei bei Dir?

DanielGross · 30. August 2024 um 20:24

Hallo Michael,

das ist keine Datei. Sondern das kommt von dem Kommando, welches die Gruppenzugehörigkeit abfrägt. (–require-member-of=linuxmuster.lan\wifi) Das wird nicht richtig erkannt.

ntml_auth kommuniziert ja mit dem Samba. Denke da passt irgendwas nicht bei mir. Ich habe aber keine Idee was?

VG Daniel

Buster · 30. August 2024 um 21:51

Hallo,

in der Regel wird bei Linux und insbesondere auf Kommandozeile mit \ ein Sonderzeichen maskiert. Es könnte sein, dass du dort entweder den Wert „linuxmuster.lan\wifi“, der ja vermutlich die Bedeutung Domain\Usergroup innehaben soll, entweder als Zeichenkette markieren musst, z.B. mit Anführungszeichen oder Hochkomma, oder du musst \ als Sonderzeichen mit \ maskieren. Probiere es einfach mal aus:

–require-member-of=„linuxmuster.lan\wifi“
–require-member-of=linuxmuster.lan\\wifi

MfG
Buster

Michael · 31. August 2024 um 07:51

Ich habe gerade danach gesucht:

locate ntlm_auth
cat /etc/freeradius/3.0/mods-enabled/ntlm_auth

Es kann sein, dass dort nicht der FQDN sondern nur der Samba-Domain-Name eingetragen werden muss?!!

In Deinem Fall also nur
--require-membership-of=LINUXMUSTER\wifi und nicht das .lan dazu. Bei uns ist das so und es funktioniert. Direkt vor dem Eintrag steht bei uns unter domain= ebenfalls nur der kurze Name … ist das bei Dir anders?

Wenn meine Vermutung zutrifft, stimmt der Abschnitt in der Anleitung nicht:
https://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html
Chris (@cweikl) – wie siehst Du das?

Viele Grüße,
Michael

hth,
Michael

DanielGross · 31. August 2024 um 09:30

Hallo Michael, hallo Buster,

wenn ich … linuxmuster.lan\ \wifi in der entsprechenden Datei eintrage, dann erkennt er in der debug-Ausgabe linuxmuster.lan\wifi.

In der Doku von radius steht, dass nach --require-membership-of ein String-Argument erwartet wird.
Bei mir steht da beides Male linuxmuster.lan. Ich werde deinen Vorschlag testen Michael.

VG Daniel

Jens · 31. August 2024 um 10:33

Hallo Daniel,

ich weiß nicht, ob Dich das gerade weiterbringt, aber bei mir sieht das (anonymisiert) so aus (und funktioniert):

Datei /etc/samba/smb.conf

[global]
workgroup = LMN7
realm = LMN7.MEINE-DOMAIN.DE

Datei /etc/freeradius/3.0/mods-enabled/mschap

ntlm_auth = "/usr/bin/ntlm_auth --allow-mschapv2 --request-nt-key --domain=LMN7 --require-membership-of=LMN7\wifi --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"

Viel Erfolg!
Jens

DanielGross · 31. August 2024 um 16:03

Hallo Jens,
danke fürs mitdenken.

Das mit dem LMN7 bzw. LINUXMUSTER umschreiben habe ich gemacht, hat mich noch nicht weiter gebracht, ist aber vermutlich jetzt richtig.

Wie sieht denn das bei euch aus?

root@server:~# ls -l /etc/samba/smb.conf -rw-r--r-- 1 root root 1250 Aug 31 10:41 /etc/samba/smb.conf

Wie sieht es mit weiteren Rechten von Dateien aus, auf die freeradius zugreift? Kann da noch etwas nicht stimmen?

Was mich halt so verwundert ist, dass es unter 7.1 alles stabil gelaufen ist und mit dem Update nicht mehr geht.

VG Daniel

Michael · 31. August 2024 um 17:01

Die Rechte stimmen so … kennst Du diesen Thread?

Vielleicht hilft das weiter — auch, wenn es da teilweise um Version 3.2 vom Freeradius-Server geht…

DanielGross · 31. August 2024 um 21:28

Hallo Michael,

kenne ich, danke. Habe ich auch befolgt, hat mich aber nicht weitergebracht.

Ich denke inzwischen, dass es läuft. radtest ist erfolgreich, also müsste es gehen . (Test in der Schule steht noch aus.)

Ich habe mit apt purge freeradius freeradius-config eine komplette Deinstallation gemacht. Bei den Paketen bin ich zurück auf Version 3.0, war zuvor auf 3.2.
Danach habe ich nach Anleitung konfiguriert, als Domain in mschap und ntlm_auth nur LINUXMUSTER angegeben, wie von dir empfohlen.
Hatte noch nen Zombiprozess von der alten Installation, den musste ich erst killen und dann ist der freeradius gestartet und die Testanmeldung über die Konsole hat geklappt.

Danke für die Unterstützung!

VG Daniel

Michael · 1. September 2024 um 07:01

Hi.
Schön, dass es wieder läuft … @Tobias hatte vor einiger Zeit ja ebenfalls Probleme mit dem Upgrade auf Version 3.2

Ich nehme aber nochmal das auf, was @maxim oben gesagt hat: Vermutlich ist es sinnvoller, den freeradius-Server vom v7-Server abzudocken und ihn in eine eigene Umgebung zu packen. Wir haben das (Asche auf mein Haupt) zwar auch noch nicht umgesetzt aber über solche Updates stolpert man dann zwangsläufig.

Viele Grüße,
Michael