[MASOCH-L] IAS, Freeradius e Openser

Artur Hayne arturhayne at yahoo.com.br
Fri Sep 15 12:51:39 -03 2006 

Ola...
  Eu consegui fazer o freeradius se comunicar com o IAS configurando-o (freeradius) como proxy, porem não deu certo. O vizualizador de ventos do windows mostra a seguinte mensagem:
   
  "Tipo de evento: Erro
Fonte de evento: IAS
Recebida uma mensagem RADIUS incorreta do cliente voip3. Os dados estão na mensagem RADIUS."
  
E o debug do freeradius é o seguinte:
   
     modcall[authorize]: module "auth_log" returns ok for request 3
   modcall[authorize]: module "chap" returns noop for request 3
     rlm_realm: Looking up realm "voip.domain.br" for User-Name = 
"teste at voip.domain.br"
     rlm_realm: Found realm "DEFAULT"
     rlm_realm: Proxying request from user teste to realm DEFAULT
     rlm_realm: Adding Realm = "DEFAULT"
     rlm_realm: Preparing to proxy authentication request to realm 
"DEFAULT"
   modcall[authorize]: module "suffix" returns updated for request 3
 rlm_digest: Adding Auth-Type = DIGEST
   modcall[authorize]: module "digest" returns ok for request 3
 rlm_ldap: - authorize
 rlm_ldap: performing user authorization for teste at voip.domain.br
 radius_xlat:  '(uid=teste at voip.domain.br)'
 radius_xlat:  'ou=users,dc=voip,dc=domain,dc=br'
 rlm_ldap: ldap_get_conn: Checking Id: 0
 rlm_ldap: ldap_get_conn: Got Id: 0
 rlm_ldap: performing search in ou=users,dc=voip,dc=domain,dc=br, with 
filter (uid=teste at voip.domain.br)
 rlm_ldap: object not found or got ambiguous search result
 rlm_ldap: search failed
 rlm_ldap: ldap_release_conn: Release Id: 0
   modcall[authorize]: module "ldap" returns notfound for request 3
 modcall: leaving group authorize (returns notfound) for request 3
 Sending Access-Request of id 3 to 10.2.1.XY port 1600
         User-Name = "teste at voip.domain.br"
         Digest-Attributes = 0x0a077465737465
         Digest-Attributes = 0x010e766f69702e756662612e6272
         Digest-Attributes = 
0x022a34353039343233343264313165616336306262366262633263373539643630666362383939656131
         Digest-Attributes = 0x04127369703a766f69702e756662612e6272
         Digest-Attributes = 0x030a5245474953544552
         Digest-Response = "4283445dcb36643dab5f437e10f692bf"
         Service-Type = IAPP-Register
         X-Ascend-PW-Lifetime = 0x7465737465
         NAS-IP-Address = 10.2.1.XX
         NAS-Port = 5060
         Proxy-State = 0x323038
 Re-sending Access-Request of id 0 to 10.2.1.XX port 1600
         User-Name = "teste at voip.domain.br"
         Digest-Attributes = 0x0a077465737465
         Digest-Attributes = 0x010e766f69702e756662612e6272
         Digest-Attributes = 
0x022a34353039343233343264313165616336306262366262633263373539643630666362383939656131
         Digest-Attributes = 0x04127369703a766f69702e756662612e6272
         Digest-Attributes = 0x030a5245474953544552
         Digest-Response = "4283445dcb36643dab5f437e10f692bf"
         Service-Type = IAPP-Register
         X-Ascend-PW-Lifetime = 0x7465737465
         NAS-IP-Address = 10.2.1.XX
         NAS-Port = 5060
         Client-IP-Address = 10.2.1.XX
         Realm = "DEFAULT"
         Module-Failure-Message = "rlm_ldap: User not found"
         Realm = "DEFAULT"
         Proxy-State = 0x323035
 Waking up in 1 seconds...
 rad_recv: Access-Request packet from host 10.2.1.XX:33634, id=206, 
length=200
 Ignoring duplicate packet from client OpenSER:33634 - ID: 206, due to 
outstanding proxied request 1.
   
  O que esta dando errado? Eu não entendo: o Freeradius e o IAS utilizam o mesmo protocolo, mas não conseguem se comunicar. É questão de atributo? Criptografia?

  Alguém por favor tem alguma idéia? Alguma coisa qualquer, uma dica...
  Alguem já teve alguma experiência parecida? Eu já não sei mais o que eu faço, ja tentei de várias maneiras:
   
  |Openser| -> |Freeradius| -> |AD|
  |Openser| -> |Radiusclient| -> |IAS| -> |AD|
  |Openser| -> |Freeradius| -> |IAS| -> |AD|
   
  Acabarei tendo que descartar o Freeradius. 
   
  Obrigado.
  
masoch-l-request at eng.registro.br escreveu:
  Artur Hayne escreveu: Ol? a todos,

Como fa?o para transformar o Freeradius num cliente do IAS? Existe algum tutorial, ou artigo?
Se for sem passar pelo servidor freeradius eu j? configurei o radiusclient para ir direto ao IAS, mas n?o deu certo, nada acontece, e o pior de tudo que n?o tenho nem como debugar o problema e o arquivo de log do IAS ? muito fraco.

|Openser| -> |Radiusclient| -> |Freeradius| -> |IAS| -> |AD|
Da pra fazer isso? Como fa?o isso?

Alguma id?ia?

Obrigado.
-----------------------------

Marcos escreveu: 

Pessoal, facam o seguinte:

- instale o IAS no windows - esse software atua como
um radius server
- configure o freeradius para atuar como um radius
client, usando o IAS como radius server.

pronto, assim fica mais facil.
infelizmente o windows nao eh 100% LDAP.
o AD do windows 2003 eh mais LDAP que o AD do windows
2000, mas mesmo assim nao sao 100% compativeis com o
padrao LDAP.

[]s

Marcos

--- Marcelo Costa escreveu:

> Arthur,
> 
> qual ? a pesquisa que o freeradius est? fazendo no
> ldap?
> o que tem no users.conf?
> 
> eu f? utilizei freeradius+ldap sem problemas.
> 
> []s
> Marcelo Costa
> 
> Em 20/8/2006, "Artur Hayne"
> escreveu:
> 
> >Ol? a todos, 
> > 
> > Eu tenho um problema que parece n?o haver
> solu??o. Tenho um servidor openser que deve
> autenticar os usu?rios no servidor ldap Active 
> Directory atrav?s do FreeRadius. Consigo estabelecer
> uma se??o do Freeradius com o AD, porem quando o
> usu?rio tenta se autenticar atraves de um
> softphone, passando pelo FreeRadius, aparece um
> erro.
> > 
> > Vejam aqui o debug do Radius:
> > 
> > radius_xlat: 'ou=bli,dc=blo,dc=blu,dc=br'
> > rlm_ldap: ldap_get_conn: Checking Id: 0
> > rlm_ldap: ldap_get_conn: Got Id: 0
> > rlm_ldap: performing search in
> ou=bli,dc=blo,dc=blu,dc=br, with filter (uid=jab)
> > rlm_ldap: object not found or got ambiguous
> search result <---------- essa linha!!!
> > rlm_ldap: search failed <---------- essa linha!!!
> > rlm_ldap: ldap_release_conn: Release Id: 0
> > modcall[authorize]: module "ldap" returns
> notfound for request 47 <---------- essa linha!!!
> > modcall: leaving group authorize (returns ok) for
> request 47
> > rad_check_password: Found Auth-Type DIGEST
> > auth: type "digest"
> > Processing the authenticate section of
> radiusd.conf
> > modcall: entering group authenticate for request
> 47
> > rlm_digest: Configuration item "User-Password" or
> MD5-Password is required for authentication.
> <---------- essa linha!!!
> > modcall[authenticate]: module "digest" returns
> invalid for request 47 <---------- essa linha!!!
> > modcall: leaving group authenticate (returns
> invalid) for request 47
> > auth: Failed to validate the user. <----------
> essa linha!!!
> > 
> > Eu vi alguns tutoriais mostrando como autenticar
> no dominio utilizando a ferramneta ntlm_auth, mas
> ela parece que so funciona com o protocolo mschap,
> sendo que o Openser utiliza o digest para
> autenticar. 
> > No radiusd.conf o digest e o ldap est?o
> descomentados tanto para autentica??o como para
> autoriza??o.
> > ? necess?rio fazer alguma configura??o nos
> aquivos users ou em outro?
> > Eu ainda estou tentando entender um pouco mais do
> Freeradius.
> > 
> > Obrigado.

 		
---------------------------------
 O Yahoo! está de cara nova. Venha conferir!

More information about the masoch-l mailing list