[Gutl-l] FREERADIUS + LDAP
Alquien me pudiera ayudar con una guia aterrizada, para configurar mis AP. ___ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Re: [Gutl-l] Freeradius + Ldap
El 01/11/2017 a las 02:17 p.m., ssanchez...@infomed.sld.cu escribió: Buenas tardes lista estoy intentando configurar freeradius + ldap pero no ahí modo que me quieran autenticar los celulares, probando desde la misma consola del freeradius con el comando radtest me devuelve lo siguiente root@FreeRadius:~# radtest salbi "Salbi09" 142.132.9.50 1 wlan-nodo Sending Access-Request of id 245 to 142.132.9.50 port 1812 User-Name = "salbi" User-Password = "Salbi09" NAS-IP-Address = 127.0.0.1 NAS-Port = 1 Message-Authenticator = 0x rad_recv: Access-Accept packet from host 142.132.9.50 port 1812, id=245, length=20 root@FreeRadius:~# y en el log del freeradius Wed Nov 1 11:43:20 2017 : Auth: Login OK: [salbi/Salbi09] (from client wlan-nodo port 1) al parece todo trabaja bien, el problema es a la hora de los autentificar los celulares, me devuelve el siguiente error Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 via TLS tunnel) Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 cli a013bdc003d6) Veo que dice TLS tunnel entonces seguro que le estas poniendo bien a los celulares clientes el metodo correcto de autenticacion ??? TTLS ? __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius + Ldap
Buenas tardes lista estoy intentando configurar freeradius + ldap pero no ahí modo que me quieran autenticar los celulares, probando desde la misma consola del freeradius con el comando radtest me devuelve lo siguiente root@FreeRadius:~# radtest salbi "Salbi09" 142.132.9.50 1 wlan-nodo Sending Access-Request of id 245 to 142.132.9.50 port 1812 User-Name = "salbi" User-Password = "Salbi09" NAS-IP-Address = 127.0.0.1 NAS-Port = 1 Message-Authenticator = 0x rad_recv: Access-Accept packet from host 142.132.9.50 port 1812, id=245, length=20 root@FreeRadius:~# y en el log del freeradius Wed Nov 1 11:43:20 2017 : Auth: Login OK: [salbi/Salbi09] (from client wlan-nodo port 1) al parece todo trabaja bien, el problema es a la hora de los autentificar los celulares, me devuelve el siguiente error Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 via TLS tunnel) Wed Nov 1 11:41:04 2017 : Auth: Login incorrect: [salbi/Auth-Type = EAP>] (from client AP port 0 cli a013bdc003d6) Si alguien lo tiene trabajando o tiene alguna idea del posible error por favor de ayudar, Saludos a Todos This message was sent using IMP, the Internet Messaging Program. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 12/02/16 a las 09:04, Salvador Sánchez Sánchez escribió:
El 11/02/2016 a las #4, Arian Molina Aguilera escribió:
El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió:
Buenas Tardes, estoy intentando implementar como dice el asunto
freeradius + ldap, configure todo por una guía, cuando pruebo en
consola con el comando
radtest user-ldap pass-ldap localhost 1812 secret
me devuelve
Sending Access-Request of id 152 to 127.0.0.1 port 1812
User-Name = "user-ldap"
User-Password = "pass-ldap"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152,
length=38
User-Password = "ACTIVE"
en el log
Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812)
ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide
autenticación es decir la tarjeta WIFi pide usuario y contraseña, le
pongo los datos y me da error, y en el log del freeradius me muestra
lo siguiente.
Auth: [ldap] Attribute "User-Password" is required for
authentication.
Auth: Login incorrect: [salbi/] (from client
INFORMATICA port 0 cli 0018e710d7a2)
Espero su ayuda,
pa la wifi es otra otra, porque necesita encriptación EAP, y usar
MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas
el modulo EAP a freeradius, para las wifi te es inservible. Salu2.
tengo el modulo eap habilitado y configurado.
modules {
$INCLUDE ${confdir}/modules/
$INCLUDE eap.conf
}
eap.conf
eap {
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
# md5 {
# }
# leap {
# }
# gtc {
# auth_type = PAP
# }
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
# CA_path = ${cadir}
cipher_list = "DEFAULT"
# make_cert_command = "${certdir}/bootstrap"
# ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
max_entries = 255
}
# verify {
# }
# ocsp {
# enable = no
# override_cert_url = yes
# url = "http://127.0.0.1/ocsp/;
# }
}
ttls {
default_eap_type = tls
copy_request_to_tunnel = no
use_tunneled_reply = no
include_length = yes
}
# peap {
# default_eap_type = mschapv2
# copy_request_to_tunnel = no
# use_tunneled_reply = no
# }
# mschapv2 {
# }
}
como estas configurando el cliente?? y el AP que autentica contra el
AAA, debes decirle al AP que use WPA2-infraestructura, y que use AES o
TKIM para la encriptación. Salu2.
--
Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Linux Usuario Registrado #392892
Telfs: +53(7)696-7510 ext 236
jabber: linuxc...@openmailbox.org
Brascuba Cigarrillos S.A. La Habana. Cuba.
__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 11/02/2016 a las #4, Arian Molina Aguilera escribió:
El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió:
Buenas Tardes, estoy intentando implementar como dice el asunto
freeradius + ldap, configure todo por una guía, cuando pruebo en
consola con el comando
radtest user-ldap pass-ldap localhost 1812 secret
me devuelve
Sending Access-Request of id 152 to 127.0.0.1 port 1812
User-Name = "user-ldap"
User-Password = "pass-ldap"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152,
length=38
User-Password = "ACTIVE"
en el log
Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812)
ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide
autenticación es decir la tarjeta WIFi pide usuario y contraseña, le
pongo los datos y me da error, y en el log del freeradius me muestra
lo siguiente.
Auth: [ldap] Attribute "User-Password" is required for authentication.
Auth: Login incorrect: [salbi/] (from client
INFORMATICA port 0 cli 0018e710d7a2)
Espero su ayuda,
pa la wifi es otra otra, porque necesita encriptación EAP, y usar
MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas
el modulo EAP a freeradius, para las wifi te es inservible. Salu2.
tengo el modulo eap habilitado y configurado.
modules {
$INCLUDE ${confdir}/modules/
$INCLUDE eap.conf
}
eap.conf
eap {
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
# md5 {
# }
# leap {
# }
# gtc {
# auth_type = PAP
# }
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
# CA_path = ${cadir}
cipher_list = "DEFAULT"
# make_cert_command = "${certdir}/bootstrap"
# ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
max_entries = 255
}
# verify {
# }
# ocsp {
# enable = no
# override_cert_url = yes
# url = "http://127.0.0.1/ocsp/;
# }
}
ttls {
default_eap_type = tls
copy_request_to_tunnel = no
use_tunneled_reply = no
include_length = yes
}
# peap {
# default_eap_type = mschapv2
# copy_request_to_tunnel = no
# use_tunneled_reply = no
# }
# mschapv2 {
# }
}
--
*SaLvAdOr SaNcHeZ SaNcHeZ
*Administrador de Redes
*Dirección Municipal de Salud
*Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/
*Proud GNU/Linux User # 525811
*http://counter.li.org/
*Cacocum - Holguín
" - Se es viejo cuando se tiene más alegría por el pasado que por el
futuro. - "
--
Este mensaje le ha llegado mediante el servicio de correo electronico que
ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema
Nacional de Salud. La persona que envia este correo asume el compromiso de usar
el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] FreeRadius + Ldap
Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, -- *SaLvAdOr SaNcHeZ SaNcHeZ *Administrador de Redes *Dirección Municipal de Salud *Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/ *Proud GNU/Linux User # 525811 *http://counter.li.org/ *Cacocum - Holguín " - Se es viejo cuando se tiene más alegría por el pasado que por el futuro. - " -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] FreeRadius + Ldap
El 11/02/16 a las 15:34, Salvador Sánchez Sánchez escribió: Buenas Tardes, estoy intentando implementar como dice el asunto freeradius + ldap, configure todo por una guía, cuando pruebo en consola con el comando radtest user-ldap pass-ldap localhost 1812 secret me devuelve Sending Access-Request of id 152 to 127.0.0.1 port 1812 User-Name = "user-ldap" User-Password = "pass-ldap" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=152, length=38 User-Password = "ACTIVE" en el log Auth: Login OK: [user-ldap/pass-ldap] (from client LocalHost port 1812) ahí todo bien, el problema es a la hora de unir alguna pc, la pc pide autenticación es decir la tarjeta WIFi pide usuario y contraseña, le pongo los datos y me da error, y en el log del freeradius me muestra lo siguiente. Auth: [ldap] Attribute "User-Password" is required for authentication. Auth: Login incorrect: [salbi/] (from client INFORMATICA port 0 cli 0018e710d7a2) Espero su ayuda, pa la wifi es otra otra, porque necesita encriptación EAP, y usar MSChapV2. logré en su tiempo implementarlo con EAP-TTLS. Si no habilitas el modulo EAP a freeradius, para las wifi te es inservible. Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius LDAP
Buenos días, quería saber si alguien tiene alguna guía sobre Freeradius + LDAP o alguien que lo tengo funcional, Espero su Ayuda. -- *SaLvAdOr SaNcHeZ SaNcHeZ *Administrador de Redes *Dirección Municipal de Salud *Grupo de Usuarios de Tecnologías Libres en Cuba -»http://gutl.jovenclub.cu/ *Proud GNU/Linux User # 525811 *http://counter.li.org/ *Cacocum - Holguín " - Se es viejo cuando se tiene más alegría por el pasado que por el futuro. - " -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Freeradius LDAP
On Thu, 17 Dec 2015 13:41:48 -0500
Omar Isalgué Begué wrote:
> alguien tiene un manual o conoce de alguna guia para configurar
> freeradius con autentificacion LDAP, puede ser en cualkier distro
>
> Salu2s
>
Uso Proxmox, containers debian, habilitas el modulo ldap, editas ese file que
esta dentro de /modules y le pones todo lo concerniente a la conexion a tu ldap
incluyendo un filtro como ves aca:
root@wifi:/admin/fr/modules# cat ldap
ldap {
server = "ldap://ldap.tu.dominio.cu:389/;
identity = "cn=vmail,dc=tu,dc=dominio,dc=cu"
password = "yb1jztQexcNOHg1bCc7G1BKvixFwiL"
basedn = "o=domains,dc=tu,dc=dominio,dc=cu"
filter =
"(&(uid=%{Stripped-User-Name:-%{User-Name}})(ServWifi=1)(accountStatus=active))"
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
tls {
start_tls = no
}
dictionary_mapping = ${confdir}/ldap.attrmap
edir_account_policy_check = yes
password_header = "{clear}"
password_attribute = userPassword
Luego en ese archivito ldap.attrmap mapeas o mas bien matcheas los atributos de
tu ldap hacia los del freeradius:
root@wifi:/admin/fr# cat ldap.attrmap
checkItem $GENERIC$ radiusCheckItem
replyItem $GENERIC$ radiusReplyItem
checkItem NT-Password sambaNTPassword
Luego: root@wifi:/admin/fr# cat radiusd.conf
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log/freeradius
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
name = freeradius
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
db_dir = ${raddbdir}
libdir = /usr/lib/freeradius
pidfile = ${run_dir}/${name}.pid
user = freerad
group = freerad
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
listen {
type = auth
ipaddr = *
port = 0
}
listen {
ipaddr = *
# ipv6addr = ::
port = 0
type = acct
# interface = eth0
# clients = per_socket_clients
}
hostname_lookups = no
allow_core_dumps = no
regular_expressions = yes
extended_expressions= yes
log {
destination = files
file = ${logdir}/radius.log
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = yes
# msg_goodpass = ""
# msg_badpass = ""
}
checkrad = ${sbindir}/checkrad
security {
max_attributes = 200
reject_delay = 1
status_server = yes
}
proxy_requests = yes
$INCLUDE proxy.conf
$INCLUDE clients.conf
thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}
modules {
$INCLUDE ${confdir}/modules/
$INCLUDE eap.conf
}
instantiate {
exec
expr
# daily
expiration
logintime
}
$INCLUDE policy.conf
$INCLUDE sites-enabled/
Lo otro que te queda es agregar los clientes en clients.conf:
root@wifi:/admin/fr# cat clients.conf
#AP en el 4to piso - Laboratorio de Quimica
client 172.16.8.2 {
secret = passwd1
shortname = QUIMICA
}
#AP ahora mismo esta en la Radiobase
client 172.16.8.3 {
secret = passwd2
shortname = RADIOBASE
}
#AP ahora mismo en dpto Infantil
client 172.16.8.4 {
secret = passwd3
shortname = INFANTIL
}
Lo hice rapido y de corre corre, dime si te pincha.. buena suerte
__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius LDAP
alguien tiene un manual o conoce de alguna guia para configurar freeradius con autentificacion LDAP, puede ser en cualkier distro Salu2s __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Freeradius+Ldap.
Colegas. Alguien que tenga implementado Freeradius con los usuarios de una base de datos Ldap, por favor que me pueda enviar algo de config, lo necesito para un Debian lenny. Saludos y gracias de antemano. -- = Yuneikys Alberto Veunes Administrador de Redes Jabber:yunei...@jabber.mtz.sld.cu Blogs:yuneikys.blogspot.com Twitter: @yuneikys_veunes Linux User #487542 Universidad de Ciencias Médicas = -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
