Radius : Différence entre versions

De Wiki_DR13
Aller à : navigation, rechercher
(Fonctionnement)
(Filtrage mac)
Ligne 32 : Ligne 32 :
  
 
Il va concaténer les 2 sources de mac adresses dans : /etc/freeradius/3.0/mods-config/files/authorized_macs
 
Il va concaténer les 2 sources de mac adresses dans : /etc/freeradius/3.0/mods-config/files/authorized_macs
 +
  
 
* 1 : requête directement sur le serveur GLPI : SELECT * FROM glpidb.Mac_Portables
 
* 1 : requête directement sur le serveur GLPI : SELECT * FROM glpidb.Mac_Portables
 
* 2 : ajout du fichier d'adresses manuelles : /etc/freeradius/3.0/scripts/macadress_Manuel
 
* 2 : ajout du fichier d'adresses manuelles : /etc/freeradius/3.0/scripts/macadress_Manuel
  
Puis il redémarre freeradius pour prise en compte
+
Puis il faut relancer le script /etc/freeradius/3.0/scripts/mac_table.sh
 +
 
 +
 
 +
 
 +
== Debug ==
 +
 
 +
Dans les logs :
 +
 
 +
= tests supervision locale =
 +
 
 +
Jul  9 07:33:16 freeradius radiusd[61333]: (26253)  Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
 +
Jul  9 07:33:16 freeradius radiusd[61333]: (26254) Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)
 +
Jul  9 07:34:34 freeradius radiusd[61333]: (26264)  Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
 +
Jul  9 07:34:34 freeradius radiusd[61333]: (26265) Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)
 +
 
 +
Test des 2 modes de login OK pour la DR
 +
 
 +
 
 +
= Tests supervision nationale =
 +
 
 +
Jul  9 07:30:43 freeradius radiusd[61333]: (26242)  Login OK: [arredu@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01 via TLS tunnel)
 +
Jul  9 07:30:43 freeradius radiusd[61333]: (26243) Login OK: [anonymous@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01)
 +
 
 +
 
 +
 
 +
= Login OK sur réseau CNRS=
 +
 
 +
Jul  9 07:53:00 freeradius radiusd[61333]: (26396)  Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5 via TLS tunnel)
 +
Jul  9 07:53:00 freeradius radiusd[61333]: (26397) Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5) CNRS
 +
 
 +
 
 +
= Login KO CNRS cause adresse MAC pas enregistrée =
 +
 
 +
Jul  5 14:56:31 freeradius radiusd[54889]: (18241) Invalid user ('''Mac address not registred'''): [DR13\morel/<no User-Password attribute>] (from client UCOPIA port 1 cli 64:80:99:e6:33:a9) CNRS
 +
Jul  5 14:56:33 freeradius radiusd[54889]: (18251)  Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd via TLS tunnel)
 +
Jul  5 14:56:33 freeradius radiusd[54889]: (18252) Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd) eduroam
 +
 
 +
* Dans ce cas, user correctement authentifié mais bloqué a cause de l'adresse MAC. Il faut vérifier que l'adresse est bien dans GLPI, et que le type est bien un Laptop.
 +
* Si pas dans GPLI (exception PC perso par exemple) ajouter l'adresse au fichier /etc/freeradius/3.0/scripts/macadress_Manuel
 +
* Relancer le script /etc/freeradius/3.0/scripts/mac_table.sh
 +
 
 +
 
 +
= Login KO CNRS cause MAUVAIS MOT DE PASSE =
 +
 
 +
Jul  8 17:19:30 freeradius radiusd[61333]: (20600) Login incorrect (eap: Failed continuing EAP PEAP (25) session.  EAP sub-module failed): [DR13\alexandra.roco/<via Auth-Type = eap>] (from client UCOPIA port 1 cli f8:16:54:03:95:0d) CNRS
 +
 
 +
Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien cocher "utiliser mes identifiants Windows"
 +
 
 +
 
 +
= Login KO Eduroam cause MAUVAIS MOT DE PASSE =
 +
 
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (85) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)'
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (85)  Login incorrect (mschap: Program returned code (1) and output 'Logon failure (0xc000006d)'): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88 via TLS tunnel)
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:  The users session was previously rejected: returning reject (again.)
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:  This means you need to read the PREVIOUS messages in the debug output
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:  to find out the reason why the user was rejected
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:  Look for "reject" or "fail".  Those earlier messages will tell you
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:  what went wrong, and how to fix the problem
 +
Jul  6 15:31:44 freeradius radiusd[61333]: (86) Login incorrect (Failed retrieving values required to evaluate condition): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88)
 +
 
 +
Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien taper le mot de passe

Version du 9 juillet 2018 à 09:39

Serveur Radius DR13

Infos

vm sur l'infra vmware.


accessible en ssh sur 10.13.102.103, login et mots de passe stadards



Fonctionnement

L'UCOPIA transfert directement les requêtes vers le serveur. 


L'accès au réseau CNRS est filtré par adresse mac (voir plus bas) + compte dans l'AD

L'accès au réseau EDUROAM est libre avec un compte dans l'AD


Suivi des traces de connexion : 

less /var/log/syslog

Filtrage mac

Un script est lancé à 6h et à 12h tous les jours (/etc/freeradius/3.0/scripts/mac_table.sh)

Il va concaténer les 2 sources de mac adresses dans : /etc/freeradius/3.0/mods-config/files/authorized_macs


  • 1 : requête directement sur le serveur GLPI : SELECT * FROM glpidb.Mac_Portables
  • 2 : ajout du fichier d'adresses manuelles : /etc/freeradius/3.0/scripts/macadress_Manuel

Puis il faut relancer le script /etc/freeradius/3.0/scripts/mac_table.sh


Debug

Dans les logs :

tests supervision locale

Jul  9 07:33:16 freeradius radiusd[61333]: (26253)   Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
Jul  9 07:33:16 freeradius radiusd[61333]: (26254) Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)
Jul  9 07:34:34 freeradius radiusd[61333]: (26264)   Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
Jul  9 07:34:34 freeradius radiusd[61333]: (26265) Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)

Test des 2 modes de login OK pour la DR


Tests supervision nationale

Jul  9 07:30:43 freeradius radiusd[61333]: (26242)   Login OK: [arredu@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01 via TLS tunnel)
Jul  9 07:30:43 freeradius radiusd[61333]: (26243) Login OK: [anonymous@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01)


Login OK sur réseau CNRS

Jul  9 07:53:00 freeradius radiusd[61333]: (26396)   Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5 via TLS tunnel)
Jul  9 07:53:00 freeradius radiusd[61333]: (26397) Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5) CNRS


Login KO CNRS cause adresse MAC pas enregistrée

Jul  5 14:56:31 freeradius radiusd[54889]: (18241) Invalid user (Mac address not registred): [DR13\morel/<no User-Password attribute>] (from client UCOPIA port 1 cli 64:80:99:e6:33:a9) CNRS
Jul  5 14:56:33 freeradius radiusd[54889]: (18251)   Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd via TLS tunnel)
Jul  5 14:56:33 freeradius radiusd[54889]: (18252) Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd) eduroam
  • Dans ce cas, user correctement authentifié mais bloqué a cause de l'adresse MAC. Il faut vérifier que l'adresse est bien dans GLPI, et que le type est bien un Laptop.
  • Si pas dans GPLI (exception PC perso par exemple) ajouter l'adresse au fichier /etc/freeradius/3.0/scripts/macadress_Manuel
  • Relancer le script /etc/freeradius/3.0/scripts/mac_table.sh


Login KO CNRS cause MAUVAIS MOT DE PASSE

Jul  8 17:19:30 freeradius radiusd[61333]: (20600) Login incorrect (eap: Failed continuing EAP PEAP (25) session.  EAP sub-module failed): [DR13\alexandra.roco/<via Auth-Type = eap>] (from client UCOPIA port 1 cli f8:16:54:03:95:0d) CNRS

Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien cocher "utiliser mes identifiants Windows"


Login KO Eduroam cause MAUVAIS MOT DE PASSE

Jul  6 15:31:44 freeradius radiusd[61333]: (85) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)'
Jul  6 15:31:44 freeradius radiusd[61333]: (85)   Login incorrect (mschap: Program returned code (1) and output 'Logon failure (0xc000006d)'): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88 via TLS tunnel)
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   The users session was previously rejected: returning reject (again.)
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   This means you need to read the PREVIOUS messages in the debug output
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   to find out the reason why the user was rejected
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   Look for "reject" or "fail".  Those earlier messages will tell you
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   what went wrong, and how to fix the problem
Jul  6 15:31:44 freeradius radiusd[61333]: (86) Login incorrect (Failed retrieving values required to evaluate condition): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88)

Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien taper le mot de passe

Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Radius&oldid=9312 »