Radius
Sommaire
- 1 Infos
- 2 Fonctionnement
- 3 Filtrage mac
- 4 Debug
- 4.1 tests supervision locale
- 4.2 Tests supervision nationale
- 4.3 Login OK sur réseau CNRS
- 4.4 Login KO CNRS cause adresse MAC pas enregistrée
- 4.5 Login KO CNRS cause MAUVAIS MOT DE PASSE
- 4.6 Login KO Eduroam cause MAUVAIS MOT DE PASSE
- 4.7 Vérifier l'authentification AD en local
- 4.8 Liste des utilisateurs AD
Infos[modifier]
vm sur l'infra vmware.
accessible en ssh sur 10.13.102.103, login et mots de passe stadards
Fonctionnement[modifier]
L'UCOPIA transfert directement les requêtes vers le serveur.
L'accès au réseau CNRS est filtré par adresse mac (voir plus bas) + compte dans l'AD
L'accès au réseau EDUROAM est libre avec un compte dans l'AD
Suivi des traces de connexion :
less /var/log/syslog
Filtrage mac[modifier]
Un script est lancé à 6h et à 12h tous les jours (/etc/freeradius/3.0/scripts/mac_table.sh)
Il va concaténer les 2 sources de mac adresses dans : /etc/freeradius/3.0/mods-config/files/authorized_macs
- 1 : requête directement sur le serveur GLPI : SELECT * FROM glpidb.Mac_Portables
- 2 : ajout du fichier d'adresses manuelles : /etc/freeradius/3.0/scripts/macadress_Manuel
Puis il faut relancer le script /etc/freeradius/3.0/scripts/mac_table.sh
AJOUTER UNE ADRESSE :
Editer le fichier des adresses mac et y ajouter la nouvelle en suivant les entrees existantes :
vim /etc/freeradius/3.0/scripts/macadress_Manuel
Recharger le tout :
/etc/freeradius/3.0/scripts/mac_table.sh
VERIFIER : (ca doit etre vert)
service freeradius status
Debug[modifier]
Dans les logs :
tests supervision locale[modifier]
Jul 9 07:33:16 freeradius radiusd[61333]: (26253) Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel) Jul 9 07:33:16 freeradius radiusd[61333]: (26254) Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68) Jul 9 07:34:34 freeradius radiusd[61333]: (26264) Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel) Jul 9 07:34:34 freeradius radiusd[61333]: (26265) Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)
Test des 2 modes de login OK pour la DR
Tests supervision nationale[modifier]
Jul 9 07:30:43 freeradius radiusd[61333]: (26242) Login OK: [arredu@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01 via TLS tunnel) Jul 9 07:30:43 freeradius radiusd[61333]: (26243) Login OK: [anonymous@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01)
Login OK sur réseau CNRS[modifier]
Jul 9 07:53:00 freeradius radiusd[61333]: (26396) Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5 via TLS tunnel) Jul 9 07:53:00 freeradius radiusd[61333]: (26397) Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5) CNRS
Login KO CNRS cause adresse MAC pas enregistrée[modifier]
Jul 5 14:56:31 freeradius radiusd[54889]: (18241) Invalid user (Mac address not registred): [DR13\morel/<no User-Password attribute>] (from client UCOPIA port 1 cli 64:80:99:e6:33:a9) CNRS Jul 5 14:56:33 freeradius radiusd[54889]: (18251) Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd via TLS tunnel) Jul 5 14:56:33 freeradius radiusd[54889]: (18252) Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd) eduroam
- Dans ce cas, user correctement authentifié mais bloqué a cause de l'adresse MAC. Il faut vérifier que l'adresse est bien dans GLPI, et que le type est bien un Laptop.
- Si pas dans GPLI (exception PC perso par exemple) ajouter l'adresse au fichier /etc/freeradius/3.0/scripts/macadress_Manuel
- Relancer le script /etc/freeradius/3.0/scripts/mac_table.sh
Login KO CNRS cause MAUVAIS MOT DE PASSE[modifier]
Jul 8 17:19:30 freeradius radiusd[61333]: (20600) Login incorrect (eap: Failed continuing EAP PEAP (25) session. EAP sub-module failed): [DR13\alexandra.roco/<via Auth-Type = eap>] (from client UCOPIA port 1 cli f8:16:54:03:95:0d) CNRS
Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien cocher "utiliser mes identifiants Windows"
Login KO Eduroam cause MAUVAIS MOT DE PASSE[modifier]
Jul 6 15:31:44 freeradius radiusd[61333]: (85) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)' Jul 6 15:31:44 freeradius radiusd[61333]: (85) Login incorrect (mschap: Program returned code (1) and output 'Logon failure (0xc000006d)'): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88 via TLS tunnel) Jul 6 15:31:44 freeradius radiusd[61333]: (86) eap_peap: The users session was previously rejected: returning reject (again.) Jul 6 15:31:44 freeradius radiusd[61333]: (86) eap_peap: This means you need to read the PREVIOUS messages in the debug output Jul 6 15:31:44 freeradius radiusd[61333]: (86) eap_peap: to find out the reason why the user was rejected Jul 6 15:31:44 freeradius radiusd[61333]: (86) eap_peap: Look for "reject" or "fail". Those earlier messages will tell you Jul 6 15:31:44 freeradius radiusd[61333]: (86) eap_peap: what went wrong, and how to fix the problem Jul 6 15:31:44 freeradius radiusd[61333]: (86) Login incorrect (Failed retrieving values required to evaluate condition): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88)
Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien taper le mot de passe
Vérifier l'authentification AD en local[modifier]
Pour être sur que l'authentification radius -> AD fonctionne, il faut tester en local sur le serveur (remplacer login par son login sans suffixe et son password :
radtest -t mschap login 'password' 127.0.0.1 0 'Crad3oc]ob0HyuWuProg(obr8'
Sent Access-Request Id 79 from 0.0.0.0:44271 to 127.0.0.1:1812 length 134
User-Name = "jgarnier" MS-CHAP-Password = "password" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "password" MS-CHAP-Challenge = 0x820c4fdc8438a72e MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000781d071f3317efa969e33cbaec30a85a0b0adf9ccc6efd5f
Received Access-Accept Id 79 from 127.0.0.1:1812 to 0.0.0.0:0 length 84
MS-CHAP-MPPE-Keys = 0x00000000000000008b39aac20f78aa1225c173e5df48ee6a MS-MPPE-Encryption-Policy = Encryption-Required MS-MPPE-Encryption-Types = 4
Liste des utilisateurs AD[modifier]
Vérifier qu'un utilisateur est bien listé par le serveur :
# wbinfo -u | grep garnier DR13\jgarnier
