[Gutl-l] FREERADIUS + LDAP
Alquien me pudiera ayudar con una guia aterrizada, para configurar mis AP. ___ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Re: [Gutl-l] Freeradius + Ldap
El 01/11/2017 a las 02:17 p.m., ssanchez...@infomed.sld.cu escribió: Buenas tardes lista estoy intentando configurar freeradius + ldap pero no ahí modo que me quieran autenticar los celulares, probando desde la misma consola del freeradius con el comando radtest me devuelve lo siguiente root@FreeRadius:~# radtest salbi "Salbi09" 142.132.9.50 1 wlan-nodo Sending Access-Request of id 245 to 142.132.9.50 port 1812 User-Name = "salbi" User-Password = "Salbi09" NAS-IP-Address = 127.0.0.1 NAS-Port = 1 Message-Authenticator = 0x rad_recv: Access-Accept packet from host 142.132.9.50 port 1812, id=245, length=20 root@FreeRadius:~# y en el log del freeradius Wed Nov 1 11:43:20 2017 : Auth: Login OK: [salbi/Salbi09] (from client wlan-nodo port 1) al parece todo trabaja bien, el problema es a la hora de los autentificar los celulares, me devuelve el siguiente error Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 via TLS tunnel) Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 cli a013bdc003d6) Veo que dice TLS tunnel entonces seguro que le estas poniendo bien a los celulares clientes el metodo correcto de autenticacion ??? TTLS ? __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius + Ldap
Buenas tardes lista estoy intentando configurar freeradius + ldap pero no ahí modo que me quieran autenticar los celulares, probando desde la misma consola del freeradius con el comando radtest me devuelve lo siguiente root@FreeRadius:~# radtest salbi "Salbi09" 142.132.9.50 1 wlan-nodo Sending Access-Request of id 245 to 142.132.9.50 port 1812 User-Name = "salbi" User-Password = "Salbi09" NAS-IP-Address = 127.0.0.1 NAS-Port = 1 Message-Authenticator = 0x rad_recv: Access-Accept packet from host 142.132.9.50 port 1812, id=245, length=20 root@FreeRadius:~# y en el log del freeradius Wed Nov 1 11:43:20 2017 : Auth: Login OK: [salbi/Salbi09] (from client wlan-nodo port 1) al parece todo trabaja bien, el problema es a la hora de los autentificar los celulares, me devuelve el siguiente error Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 via TLS tunnel) Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 cli a013bdc003d6) Si alguien lo tiene trabajando o tiene alguna idea del posible error por favor de ayudar, Saludos a Todos This message was sent using IMP, the Internet Messaging Program. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 12/02/16 a las 09:04, Salvador Sánchez Sánchez escribió: El 11/02/2016 a las #4, Arian Molina Aguilera escribió: El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió: Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, pa la wifi es otra otra, porque necesita encriptación EAP, y usar MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas el modulo EAP a freeradius, para las wifi te es inservible. Salu2. tengo el modulo eap habilitado y configurado. modules { $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf } eap.conf eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 # md5 { # } # leap { # } # gtc { # auth_type = PAP # } tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom # CA_path = ${cadir} cipher_list = "DEFAULT" # make_cert_command = "${certdir}/bootstrap" # ecdh_curve = "prime256v1" cache { enable = no lifetime = 24 # hours max_entries = 255 } # verify { # } # ocsp { # enable = no # override_cert_url = yes # url = "http://127.0.0.1/ocsp/; # } } ttls { default_eap_type = tls copy_request_to_tunnel = no use_tunneled_reply = no include_length = yes } # peap { # default_eap_type = mschapv2 # copy_request_to_tunnel = no # use_tunneled_reply = no # } # mschapv2 { # } } como estas configurando el cliente?? y el AP que autentica contra el AAA, debes decirle al AP que use WPA2-infraestructura, y que use AES o TKIM para la encriptación. Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 11/02/2016 a las #4, Arian Molina Aguilera escribió: El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió: Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, pa la wifi es otra otra, porque necesita encriptación EAP, y usar MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas el modulo EAP a freeradius, para las wifi te es inservible. Salu2. tengo el modulo eap habilitado y configurado. modules { $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf } eap.conf eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 # md5 { # } # leap { # } # gtc { # auth_type = PAP # } tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom # CA_path = ${cadir} cipher_list = "DEFAULT" # make_cert_command = "${certdir}/bootstrap" # ecdh_curve = "prime256v1" cache { enable = no lifetime = 24 # hours max_entries = 255 } # verify { # } # ocsp { # enable = no # override_cert_url = yes # url = "http://127.0.0.1/ocsp/; # } } ttls { default_eap_type = tls copy_request_to_tunnel = no use_tunneled_reply = no include_length = yes } # peap { # default_eap_type = mschapv2 # copy_request_to_tunnel = no # use_tunneled_reply = no # } # mschapv2 { # } } -- *SaLvAdOr SaNcHeZ SaNcHeZ *Administrador de Redes *Dirección Municipal de Salud *Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/ *Proud GNU/Linux User # 525811 *http://counter.li.org/ *Cacocum - Holguín " - Se es viejo cuando se tiene más alegría por el pasado que por el futuro. - " -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] FreeRadius + Ldap
Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, -- *SaLvAdOr SaNcHeZ SaNcHeZ *Administrador de Redes *Dirección Municipal de Salud *Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/ *Proud GNU/Linux User # 525811 *http://counter.li.org/ *Cacocum - Holguín " - Se es viejo cuando se tiene más alegría por el pasado que por el futuro. - " -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió: Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, pa la wifi es otra otra, porque necesita encriptación EAP, y usar MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas el modulo EAP a freeradius, para las wifi te es inservible. Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius LDAP
Buenos días, quería saber si alguien tiene alguna guía sobre Freeradius + LDAP o alguien que lo tengo funcional, Espero su Ayuda. -- *SaLvAdOr SaNcHeZ SaNcHeZ *Administrador de Redes *Dirección Municipal de Salud *Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/ *Proud GNU/Linux User # 525811 *http://counter.li.org/ *Cacocum - Holguín " - Se es viejo cuando se tiene más alegría por el pasado que por el futuro. - " -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Freeradius LDAP
On Thu, 17 Dec 2015 13:41:48 -0500 Omar Isalgué Begué wrote: > alguien tiene un manual o conoce de alguna guia para configurar > freeradius con autentificacion LDAP, puede ser en cualkier distro > > Salu2s > Uso Proxmox, containers debian, habilitas el modulo ldap, editas ese file que esta dentro de /modules y le pones todo lo concerniente a la conexion a tu ldap incluyendo un filtro como ves aca: root@wifi:/admin/fr/modules# cat ldap ldap { server = "ldap://ldap.tu.dominio.cu:389/; identity = "cn=vmail,dc=tu,dc=dominio,dc=cu" password = "yb1jztQexcNOHg1bCc7G1BKvixFwiL" basedn = "o=domains,dc=tu,dc=dominio,dc=cu" filter = "(&(uid=%{Stripped-User-Name:-%{User-Name}})(ServWifi=1)(accountStatus=active))" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = no } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = yes password_header = "{clear}" password_attribute = userPassword Luego en ese archivito ldap.attrmap mapeas o mas bien matcheas los atributos de tu ldap hacia los del freeradius: root@wifi:/admin/fr# cat ldap.attrmap checkItem $GENERIC$ radiusCheckItem replyItem $GENERIC$ radiusReplyItem checkItem NT-Password sambaNTPassword Luego: root@wifi:/admin/fr# cat radiusd.conf prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = ${exec_prefix}/sbin logdir = /var/log/freeradius raddbdir = /etc/freeradius radacctdir = ${logdir}/radacct name = freeradius confdir = ${raddbdir} run_dir = ${localstatedir}/run/${name} db_dir = ${raddbdir} libdir = /usr/lib/freeradius pidfile = ${run_dir}/${name}.pid user = freerad group = freerad max_request_time = 30 cleanup_delay = 5 max_requests = 1024 listen { type = auth ipaddr = * port = 0 } listen { ipaddr = * # ipv6addr = :: port = 0 type = acct # interface = eth0 # clients = per_socket_clients } hostname_lookups = no allow_core_dumps = no regular_expressions = yes extended_expressions= yes log { destination = files file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no auth = yes auth_badpass = yes auth_goodpass = yes # msg_goodpass = "" # msg_badpass = "" } checkrad = ${sbindir}/checkrad security { max_attributes = 200 reject_delay = 1 status_server = yes } proxy_requests = yes $INCLUDE proxy.conf $INCLUDE clients.conf thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } modules { $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf } instantiate { exec expr # daily expiration logintime } $INCLUDE policy.conf $INCLUDE sites-enabled/ Lo otro que te queda es agregar los clientes en clients.conf: root@wifi:/admin/fr# cat clients.conf #AP en el 4to piso - Laboratorio de Quimica client 172.16.8.2 { secret = passwd1 shortname = QUIMICA } #AP ahora mismo esta en la Radiobase client 172.16.8.3 { secret = passwd2 shortname = RADIOBASE } #AP ahora mismo en dpto Infantil client 172.16.8.4 { secret = passwd3 shortname = INFANTIL } Lo hice rapido y de corre corre, dime si te pincha.. buena suerte __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius LDAP
alguien tiene un manual o conoce de alguna guia para configurar freeradius con autentificacion LDAP, puede ser en cualkier distro Salu2s __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius+Ldap.
Colegas. Alguien que tenga implementado Freeradius con los usuarios de una base de datos Ldap, por favor que me pueda enviar algo de config, lo necesito para un Debian lenny. Saludos y gracias de antemano. -- = Yuneikys Alberto Veunes Administrador de Redes Jabber:yunei...@jabber.mtz.sld.cu Blogs:yuneikys.blogspot.com Twitter: @yuneikys_veunes Linux User #487542 Universidad de Ciencias Médicas = -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l