Radius

Infos

vm sur l'infra vmware.

accessible en ssh sur 10.13.102.103, login et mots de passe stadards

Fonctionnement

L'UCOPIA transfert directement les requêtes vers le serveur.

L'accès au réseau CNRS est filtré par adresse mac (voir plus bas) + compte dans l'AD

L'accès au réseau EDUROAM est libre avec un compte dans l'AD

Suivi des traces de connexion :

less /var/log/syslog

Filtrage mac

Un script est lancé à 6h et à 12h tous les jours (/etc/freeradius/3.0/scripts/mac_table.sh)

Il va concaténer les 2 sources de mac adresses dans : /etc/freeradius/3.0/mods-config/files/authorized_macs

• 1 : requête directement sur le serveur GLPI : SELECT * FROM glpidb.Mac_Portables
• 2 : ajout du fichier d'adresses manuelles : /etc/freeradius/3.0/scripts/macadress_Manuel

Puis il faut relancer le script /etc/freeradius/3.0/scripts/mac_table.sh

AJOUTER UNE ADRESSE :

Editer le fichier des adresses mac et y ajouter la nouvelle en suivant les entrees existantes :

vim /etc/freeradius/3.0/scripts/macadress_Manuel

Recharger le tout :

/etc/freeradius/3.0/scripts/mac_table.sh

VERIFIER : (ca doit etre vert)

service freeradius status

Debug

Dans les logs :

tests supervision locale

Jul  9 07:33:16 freeradius radiusd[61333]: (26253)   Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
Jul  9 07:33:16 freeradius radiusd[61333]: (26254) Login OK: [nagios@dr13.cnrs.fr] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)
Jul  9 07:34:34 freeradius radiusd[61333]: (26264)   Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68 via TLS tunnel)
Jul  9 07:34:34 freeradius radiusd[61333]: (26265) Login OK: [DR13\nagios] (from client UCOPIA port 0 cli 70:6f:6c:69:73:68)

Test des 2 modes de login OK pour la DR

Tests supervision nationale

Jul  9 07:30:43 freeradius radiusd[61333]: (26242)   Login OK: [arredu@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01 via TLS tunnel)
Jul  9 07:30:43 freeradius radiusd[61333]: (26243) Login OK: [anonymous@dr13.cnrs.fr] (from client UCOPIA port 0 cli 02:00:00:00:00:01)

Login OK sur réseau CNRS

Jul  9 07:53:00 freeradius radiusd[61333]: (26396)   Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5 via TLS tunnel)
Jul  9 07:53:00 freeradius radiusd[61333]: (26397) Login OK: [dr13\vincent] (from client UCOPIA port 1 cli cc:44:63:cc:5f:e5) CNRS

Login KO CNRS cause adresse MAC pas enregistrée

Jul  5 14:56:31 freeradius radiusd[54889]: (18241) Invalid user (Mac address not registred): [DR13\morel/<no User-Password attribute>] (from client UCOPIA port 1 cli 64:80:99:e6:33:a9) CNRS
Jul  5 14:56:33 freeradius radiusd[54889]: (18251)   Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd via TLS tunnel)
Jul  5 14:56:33 freeradius radiusd[54889]: (18252) Login OK: [DR13\morel] (from client UCOPIA port 1 cli 7a:d2:da:cb:01:cd) eduroam

• Dans ce cas, user correctement authentifié mais bloqué a cause de l'adresse MAC. Il faut vérifier que l'adresse est bien dans GLPI, et que le type est bien un Laptop.
• Si pas dans GPLI (exception PC perso par exemple) ajouter l'adresse au fichier /etc/freeradius/3.0/scripts/macadress_Manuel
• Relancer le script /etc/freeradius/3.0/scripts/mac_table.sh

Login KO CNRS cause MAUVAIS MOT DE PASSE

Jul  8 17:19:30 freeradius radiusd[61333]: (20600) Login incorrect (eap: Failed continuing EAP PEAP (25) session.  EAP sub-module failed): [DR13\alexandra.roco/<via Auth-Type = eap>] (from client UCOPIA port 1 cli f8:16:54:03:95:0d) CNRS

Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien cocher "utiliser mes identifiants Windows"

Login KO Eduroam cause MAUVAIS MOT DE PASSE

Jul  6 15:31:44 freeradius radiusd[61333]: (85) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)'
Jul  6 15:31:44 freeradius radiusd[61333]: (85)   Login incorrect (mschap: Program returned code (1) and output 'Logon failure (0xc000006d)'): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88 via TLS tunnel)
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   The users session was previously rejected: returning reject (again.)
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   This means you need to read the PREVIOUS messages in the debug output
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   to find out the reason why the user was rejected
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   Look for "reject" or "fail".  Those earlier messages will tell you
Jul  6 15:31:44 freeradius radiusd[61333]: (86) eap_peap:   what went wrong, and how to fix the problem
Jul  6 15:31:44 freeradius radiusd[61333]: (86) Login incorrect (Failed retrieving values required to evaluate condition): [maure@dr13.cnrs.fr/<via Auth-Type = eap>] (from client UCOPIA port 0 cli 7c:7a:91:89:8e:88)

Dans ce cas, effacer le profil wifi et le refaire en prenant soin de bien taper le mot de passe

Vérifier l'authentification AD en local

Pour être sur que l'authentification radius -> AD fonctionne, il faut tester en local sur le serveur (remplacer login par son login sans suffixe et son password :

radtest -t mschap login 'password' 127.0.0.1 0 'Crad3oc]ob0HyuWuProg(obr8'

Sent Access-Request Id 79 from 0.0.0.0:44271 to 127.0.0.1:1812 length 134

User-Name = "jgarnier" MS-CHAP-Password = "password" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "password" MS-CHAP-Challenge = 0x820c4fdc8438a72e MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000781d071f3317efa969e33cbaec30a85a0b0adf9ccc6efd5f

Received Access-Accept Id 79 from 127.0.0.1:1812 to 0.0.0.0:0 length 84

MS-CHAP-MPPE-Keys = 0x00000000000000008b39aac20f78aa1225c173e5df48ee6a MS-MPPE-Encryption-Policy = Encryption-Required MS-MPPE-Encryption-Types = 4

Liste des utilisateurs AD

Vérifier qu'un utilisateur est bien listé par le serveur :

# wbinfo -u | grep garnier

DR13\jgarnier