[MASOCH-L] Ldap com Freeradius
André Proto
andreproto at acmesecurity.org
Sun Jul 27 01:31:10 BRT 2008
Olá André,
Envie o radiusd.conf para analisarmos, pelo menos a parte do LDAP. No
seu último e-mail você enviou o log do radius e não o arquivo de
configuração.
Atenciosamente,
André Proto
André Comarú escreveu:
> André,
>
> segue a resposta do comando. Os usuários aparecem.
>
> ldapserver:/etc/ldap# ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br
> # extended LDIF
> #
> # LDAPv3
> # base <dc=teste,dc=radius,dc=org,dc=br> with scope subtree
> # filter: (objectclass=*)
> # requesting: ALL
> #
> # teste.radius.org.br
> dn: dc=teste,dc=radius,dc=org,dc=br
> objectClass: top
> objectClass: dcObject
> objectClass: organization
> o: teste.radius.org.br
> dc: teste
> # admin, teste.radius.org.br
> dn: cn=admin,dc=teste,dc=radius,dc=org,dc=br
> objectClass: simpleSecurityObject
> objectClass: organizationalRole
> cn: admin
> description: LDAP administrator
> # comaru, teste.radius.org.br
> dn: uid=comaru,dc=teste,dc=radius,dc=org,dc=br
> uid: comaru
> cn: comaru
> sn: andre
> objectClass: person
> objectClass: organizationalPerson
> objectClass: inetOrgPerson
> objectClass: posixAccount
> objectClass: top
> objectClass: shadowAccount
> shadowMax: 99999
> shadowWarning: 7
> loginShell: /bin/bash
> uidNumber: 1200
> gidNumber: 1200
> homeDirectory: /home/comaru
> # notebook, teste.radius.org.br
> dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
> objectClass: top
> objectClass: radiusprofile
> objectClass: inetOrgPerson
> uid: notebook
> cn: Andre
> sn: Comaru
> description: 802.1x
> radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
> # search result
> search: 2
> result: 0 Success
> # numResponses: 5
> # numEntries: 4
> ldapserver:/etc/ldap#
>
> Até
>
>
> André
> De:masoch-l-bounces at eng.registro.br
>
> Para:"Mail Aid and Succor, On-line Comfort and Help" masoch-l at eng.registro.br
>
> Cópia:
>
> Data:Fri, 25 Jul 2008 16:09:32 -0300
>
> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>
>
>> André,
>>
>> Como você viu na resposta do comando, nenhum usuário foi encontrado, ou
>> seja, o problema está no servidor openldap. Ou o slapd.conf está
>> configurado com um sufixo diferente de
>>
>> dc=teste,dc=radius,dc=org,dc=br
>>
>> ou o usuário uid=notebook não foi cadastrado. Verifique se no arquivo
>> slapd.conf se o parâmetro "suffix" está configurado como acima. Caso ele
>> esteja como "dc=radius,dc=org,dc=br", você deve adicionar na sua base
>> LDAP a seguinte entrada:
>>
>> dn: dc=teste,dc=radius,dc=org,dc=br
>> objectClass: dcObject
>> objectClass: organizationalUnit
>> ou: teste
>> dc: teste
>>
>> dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
>> objectClass: top
>> objectClass: radiusprofile
>> objectClass: inetOrgPerson
>> uid: notebook
>> cn: Andre
>> sn: Comaru
>> description: 802.1x
>> radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
>> userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=
>>
>>
>> Adicione as entradas acima com o ldapadd. Execute o comando dinovo
>> (ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br) e verifique se as
>> entradas adicionadas são exibidas.
>>
>> A propósito, você não me mandou o radiusd.conf e sim o radius.log.
>>
>> Atenciosamente,
>>
>> André Proto
>>
>> André Comarú wrote:
>>
>>> André,
>>>
>>> Segue meu radius.conf e a resposta do comando.
>>>
>>> ldapserver:~# ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br uid=notebook
>>> # extended LDIF
>>> #
>>> # LDAPv3
>>> # base with scope subtree
>>> # filter: uid=notebook
>>> # requesting: ALL
>>> #
>>> # search result
>>> search: 2
>>> result: 0 Success
>>> # numResponses: 1
>>> ldapserver:~#
>>>
>>> Obrigado desde já.
>>>
>>> André
>>>
>>> De:masoch-l-bounces at eng.registro.br
>>>
>>> Para:"Mail Aid and Succor, On-line Comfort and Help" masoch-l at eng.registro.br
>>>
>>> Cópia:
>>>
>>> Data:Fri, 25 Jul 2008 14:24:42 -0300
>>>
>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>>>
>>>
>>>
>>>> Olá André,
>>>>
>>>> Analisando seus logs, entendi que ele não está encontrando o usuário na
>>>> base (uid=notebook). Estranho que, apesar do usuário cadastrado, o ldap
>>>> retorna 0 entradas ("nentries=0").
>>>>
>>>> Você poderia postar sua configuração de ldap no arquivo radiusd.conf?
>>>> Aproveite faça o seguinte teste em linha de comando:
>>>>
>>>> ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br uid=notebook
>>>>
>>>> Veja se realmente o usuário é encontrado. Se não for, aí tem algo errado
>>>> com seu openldap e não com o freeradius.
>>>>
>>>> Atenciosamente,
>>>>
>>>> André Proto
>>>>
>>>>
>>>> André Comarú wrote:
>>>>
>>>>
>>>>> Ola Jeronimo,
>>>>>
>>>>> Eu fiz esta estratégia. Criei no arquivo users 2 usuários. um para teste local e outro via eap-wpa para autenticar via notebook. Os 2 testes deram certo.
>>>>>
>>>>> segue no anexo users.
>>>>>
>>>>> Por isso digo q separados estão funcionando.
>>>>>
>>>>>
>>>>> Até
>>>>>
>>>>>
>>>>> De:masoch-l-bounces at eng.registro.br
>>>>>
>>>>> Para:"Mail Aid and Succor,On-line Comfort and Help" masoch-l at eng.registro.br
>>>>>
>>>>> Cópia:
>>>>>
>>>>> Data:Fri, 25 Jul 2008 13:50:29 -0300
>>>>>
>>>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>> Sugiro você primeiro fazer o radius autenticar no /etc/passwd e
>>>>>> testar na sua aplicação, para depois partir para o ldap. É uma boa
>>>>>> abordagem para saber onde se encontra o problema, se está no radius ou
>>>>>> no ldap.
>>>>>>
>>>>>>
>>>>>> André Comarú wrote:
>>>>>>
>>>>>>
>>>>>>
>>>>>>> Bom dia Jeronimo,
>>>>>>>
>>>>>>> Por partes:
>>>>>>>
>>>>>>> - Testei com o radtest apontando para um usuário cadastrado no ldap com os objectclass apropiados para Radius.
>>>>>>>
>>>>>>> Segue ldif do usuário:
>>>>>>>
>>>>>>> dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
>>>>>>> objectClass: top
>>>>>>> objectClass: radiusprofile
>>>>>>> objectClass: inetOrgPerson
>>>>>>> uid: notebook
>>>>>>> cn: Andre
>>>>>>> sn: Comaru
>>>>>>> description: 802.1x
>>>>>>> radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
>>>>>>> userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=
>>>>>>>
>>>>>>> - Sim, tenho o esquema adicionado no slapd.conf
>>>>>>>
>>>>>>> - Realmente tem bons tutoriais lá. Usei alguns.
>>>>>>>
>>>>>>> Recorri ao fórum por estar sem opções.
>>>>>>>
>>>>>>> Espero conseguir uma luz aqui.
>>>>>>>
>>>>>>> Abraços e obrigado pela atenção.
>>>>>>>
>>>>>>>
>>>>>>> Até
>>>>>>>
>>>>>>> Comarú
>>>>>>> De:masoch-l-bounces at eng.registro.br
>>>>>>>
>>>>>>> Para:"Mail Aid and Succor,On-line Comfort and Help" masoch-l at eng.registro.br
>>>>>>>
>>>>>>> Cópia:
>>>>>>>
>>>>>>> Data:Fri, 25 Jul 2008 10:34:08 -0300
>>>>>>>
>>>>>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>> André Comarú wrote:
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>> Pessoal,
>>>>>>>>>
>>>>>>>>> Estou com um problema na integração do openldap com o freeradius.
>>>>>>>>>
>>>>>>>>> Sozinhos eles estão funcionando legal. Mas juntos não consigo.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>> Como você testou para saber se o se o seu radius funciona bem
>>>>>>>> sozinho? Ele é complexo de configurar, dependendo do tipo de
>>>>>>>> autenticação que você escolher, no caso o ldap.
>>>>>>>>
>>>>>>>> Você adicionou o schema do radius no seu servidor ldap ? E populou
>>>>>>>> ele com esses dados ?
>>>>>>>>
>>>>>>>> Sugiro dar uma olhada no site www.vivaolinux.com.br. Lá tem vários
>>>>>>>> tutoriais para integração do radius com ldap. E é complicado mesmo.
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Jeronimo Zucco
>>>>>>>> LPIC-1 Linux Professional Institute Certified
>>>>>>>> Núcleo de Processamento de Dados
>>>>>>>> Universidade de Caxias do Sul
>>>>>>>>
>>>>>>>> http://jczucco.blogspot.com
>>>>>>>>
>>>>>>>> __
>>>>>>>> masoch-l list
>>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> --
>>>>>> Jeronimo Zucco
>>>>>> LPIC-1 Linux Professional Institute Certified
>>>>>> Núcleo de Processamento de Dados
>>>>>> Universidade de Caxias do Sul
>>>>>>
>>>>>> http://jczucco.blogspot.com
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>> ------------------------------------------------------------------------
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> ------------------------------------------------------------------------
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list