[MASOCH-L] Ldap com Freeradius

André Comarú a.comaru at terra.com.br
Sat Jul 26 23:34:00 -03 2008 

André Proto,

Li suas dicas e não obtive resultados melhores. Estou quase desistindo disso 
e tentar outra solução.
Estou enviando todos os resultados e arquivos de confs.
Mandei até o arquivo do schema, pois já to vendo cabelo em ovo nisso.
É um detalhe para deixar qualquer um desanimado.
Se puderes dar uma última olhada ficarei agradecido.

Abraços

André


----- Original Message ----- 
From: "André Proto" <andreproto at acmesecurity.org>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Friday, July 25, 2008 4:09 PM
Subject: Re: [MASOCH-L] Ldap com Freeradius


André,

Como você viu na resposta do comando, nenhum usuário foi encontrado, ou
seja, o problema está no servidor openldap. Ou o slapd.conf está
configurado com um sufixo diferente de

dc=teste,dc=radius,dc=org,dc=br

ou o usuário uid=notebook não foi cadastrado. Verifique se no arquivo
slapd.conf se o parâmetro "suffix" está configurado como acima. Caso ele
esteja como "dc=radius,dc=org,dc=br", você deve adicionar na sua base
LDAP a seguinte entrada:

dn: dc=teste,dc=radius,dc=org,dc=br
objectClass: dcObject
objectClass: organizationalUnit
ou: teste
dc: teste

dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
objectClass: top
objectClass: radiusprofile
objectClass: inetOrgPerson
uid: notebook
cn: Andre
sn: Comaru
description: 802.1x
radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=


Adicione as entradas acima com o ldapadd. Execute o comando dinovo
(ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br) e verifique se as
entradas adicionadas são exibidas.

A propósito, você não me mandou o radiusd.conf e sim o radius.log.

Atenciosamente,

André Proto

André Comarú wrote:
> André,
>
> Segue meu radius.conf e a resposta do comando.
>
> ldapserver:~#  ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br 
> uid=notebook
> # extended LDIF
> #
> # LDAPv3
> # base with scope subtree
> # filter: uid=notebook
> # requesting: ALL
> #
> # search result
> search: 2
> result: 0 Success
> # numResponses: 1
> ldapserver:~#
>
> Obrigado desde já.
>
> André
>
> De:masoch-l-bounces at eng.registro.br
>
> Para:"Mail Aid and Succor, On-line Comfort and Help" 
> masoch-l at eng.registro.br
>
> Cópia:
>
> Data:Fri, 25 Jul 2008 14:24:42 -0300
>
> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>
>
>> Olá André,
>>
>> Analisando seus logs, entendi que ele não está encontrando o usuário na
>> base (uid=notebook). Estranho que, apesar do usuário cadastrado, o ldap
>> retorna 0 entradas ("nentries=0").
>>
>> Você poderia postar sua configuração de ldap no arquivo radiusd.conf?
>> Aproveite faça o seguinte teste em linha de comando:
>>
>> ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br uid=notebook
>>
>> Veja se realmente o usuário é encontrado. Se não for, aí tem algo errado
>> com seu openldap e não com o freeradius.
>>
>> Atenciosamente,
>>
>> André Proto
>>
>>
>> André Comarú wrote:
>>
>>> Ola Jeronimo,
>>>
>>> Eu fiz esta estratégia. Criei no arquivo users 2 usuários. um para teste 
>>> local e outro via eap-wpa para autenticar via notebook. Os 2 testes 
>>> deram certo.
>>>
>>> segue no anexo users.
>>>
>>> Por isso digo q separados estão funcionando.
>>>
>>>
>>> Até
>>>
>>>
>>> De:masoch-l-bounces at eng.registro.br
>>>
>>> Para:"Mail Aid and Succor,On-line Comfort and Help" 
>>> masoch-l at eng.registro.br
>>>
>>> Cópia:
>>>
>>> Data:Fri, 25 Jul 2008 13:50:29 -0300
>>>
>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>>>
>>>
>>>
>>>> Sugiro você primeiro fazer o radius autenticar no /etc/passwd e
>>>> testar na sua aplicação, para depois partir para o ldap. É uma boa
>>>> abordagem para saber onde se encontra o problema, se está no radius ou
>>>> no ldap.
>>>>
>>>>
>>>> André Comarú wrote:
>>>>
>>>>
>>>>> Bom dia Jeronimo,
>>>>>
>>>>> Por partes:
>>>>>
>>>>> - Testei com o radtest apontando para um usuário cadastrado no ldap 
>>>>> com os objectclass apropiados para Radius.
>>>>>
>>>>> Segue ldif do usuário:
>>>>>
>>>>> dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
>>>>> objectClass: top
>>>>> objectClass: radiusprofile
>>>>> objectClass: inetOrgPerson
>>>>> uid: notebook
>>>>> cn: Andre
>>>>> sn: Comaru
>>>>> description: 802.1x
>>>>> radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
>>>>> userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=
>>>>>
>>>>> - Sim, tenho o esquema adicionado no slapd.conf
>>>>>
>>>>> - Realmente tem bons tutoriais lá. Usei alguns.
>>>>>
>>>>> Recorri ao fórum por estar sem opções.
>>>>>
>>>>> Espero conseguir uma luz aqui.
>>>>>
>>>>> Abraços e obrigado pela atenção.
>>>>>
>>>>>
>>>>> Até
>>>>>
>>>>> Comarú
>>>>> De:masoch-l-bounces at eng.registro.br
>>>>>
>>>>> Para:"Mail Aid and Succor,On-line Comfort and Help" 
>>>>> masoch-l at eng.registro.br
>>>>>
>>>>> Cópia:
>>>>>
>>>>> Data:Fri, 25 Jul 2008 10:34:08 -0300
>>>>>
>>>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>> André Comarú wrote:
>>>>>>
>>>>>>
>>>>>>
>>>>>>> Pessoal,
>>>>>>>
>>>>>>> Estou com um problema na integração do openldap com o freeradius.
>>>>>>>
>>>>>>> Sozinhos eles estão funcionando legal. Mas juntos não consigo.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> Como você testou para saber se o se o seu radius funciona bem
>>>>>> sozinho? Ele é complexo de configurar, dependendo do tipo de
>>>>>> autenticação que você escolher, no caso o ldap.
>>>>>>
>>>>>> Você adicionou o schema do radius no seu servidor ldap ? E populou
>>>>>> ele com esses dados ?
>>>>>>
>>>>>> Sugiro dar uma olhada no site www.vivaolinux.com.br. Lá tem vários
>>>>>> tutoriais para integração do radius com ldap. E é complicado mesmo.
>>>>>>
>>>>>>
>>>>>> -- 
>>>>>> Jeronimo Zucco
>>>>>> LPIC-1 Linux Professional Institute Certified
>>>>>> Núcleo de Processamento de Dados
>>>>>> Universidade de Caxias do Sul
>>>>>>
>>>>>> http://jczucco.blogspot.com
>>>>>>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>>>
>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>>
>>>>>
>>>> -- 
>>>> Jeronimo Zucco
>>>> LPIC-1 Linux Professional Institute Certified
>>>> Núcleo de Processamento de Dados
>>>> Universidade de Caxias do Sul
>>>>
>>>> http://jczucco.blogspot.com
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> ------------------------------------------------------------------------
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> ------------------------------------------------------------------------
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l

__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
-------------- next part --------------
####Via linha de Comando:

zeus:/etc/freeradius# radtest teste "teste" 192.168.80.254:1812 10 teste
Sending Access-Request of id 157 to 192.168.80.254 port 1812
        User-Name = "teste"
        User-Password = "teste"
        NAS-IP-Address = 192.168.80.254
        NAS-Port = 10
Sending Access-Request of id 157 to 192.168.80.254 port 1812
        User-Name = "teste"
        User-Password = "teste"
        NAS-IP-Address = 192.168.80.254
        NAS-Port = 10
rad_recv: Access-Reject packet from host 192.168.80.254 port 1812, id=157, length=20
zeus:/etc/freeradius#

log do freeradius
Sat Jul 26 20:21:08 2008 : Auth: Login incorrect: [teste/teste] (from client private-network-1 port 10)
log do slapd

Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SRCH base="dc=mshome" scope=2 deref=0 filter="(uid=teste)"
Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SRCH attr=radiusNASIpAddress radiusExpiration acctFlags ntPassword lmPassword radiusCallingStationId radiusCalledStationId radiusSimultaneousUse radiusAuthType radiusCheckItem radiusReplyMessage radiusLoginLATPort radiusPortLimit radiusFramedAppleTalkZone radiusFramedAppleTalkNetwork radiusFramedAppleTalkLink radiusLoginLATGroup radiusLoginLATNode radiusLoginLATService radiusTerminationAction radiusIdleTimeout radiusSessionTimeout radiusClass radiusFramedIPXNetwork radiusCallbackId radiusCallbackNumber radiusLoginTCPPort radiusLoginService radiusLoginIPHost radiusFramedCompression radiusFramedMTU radiusFilterId radiusFramedRouting radiusFramedRoute radiusFramedIPNetmask radiusFramedIPAddress radiusFramedProtocol radiusServiceType radiusReplyItem userPassword sasdefaultloginsequence
Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=


####  Via notebook-access point

Entrei com o mesmo usuário e senha ( teste/teste )

log radius:

Sat Jul 26 20:20:38 2008 : Auth: Login incorrect: [teste/<no User-Password attribute>] (from client private-network-1 port 24 cli 0015af114b42)

log slapd:

Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SRCH base="dc=mshome" scope=2 deref=0 filter="(uid=teste)"
Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SRCH attr=radiusNASIpAddress radiusExpiration acctFlags ntPassword lmPassword radiusCallingStationId radiusCalledStationId radiusSimultaneousUse radiusAuthType radiusCheckItem radiusReplyMessage radiusLoginLATPort radiusPortLimit radiusFramedAppleTalkZone radiusFramedAppleTalkNetwork radiusFramedAppleTalkLink radiusLoginLATGroup radiusLoginLATNode radiusLoginLATService radiusTerminationAction radiusIdleTimeout radiusSessionTimeout radiusClass radiusFramedIPXNetwork radiusCallbackId radiusCallbackNumber radiusLoginTCPPort radiusLoginService radiusLoginIPHost radiusFramedCompression radiusFramedMTU radiusFilterId radiusFramedRouting radiusFramedRoute radiusFramedIPNetmask radiusFramedIPAddress radiusFramedProtocol radiusServiceType radiusReplyItem userPassword sasdefaultloginsequence
Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=

More information about the masoch-l mailing list