[MASOCH-L] Ldap com Freeradius

André Comarú a.comaru at terra.com.br
Mon Jul 28 13:01:18 BRT 2008 

Ola,

Depois desta aula de ldap seria uma falta de consideração da minha parte desanimar ou desistir.
Agora não tenho mais dúvidas que irá funcionar.
Obrigado pela atenção. Mesmo que não funcione já tens um amigo pronto a ajudar no que precisar.
Sou gaúcho de Poa mas moro em Floripa.


Abraços

André Comarú


De:masoch-l-bounces at eng.registro.br

Para:"Mail Aid and Succor, On-line Comfort and Help" masoch-l at eng.registro.br

Cópia:

Data:Mon, 28 Jul 2008 11:35:39 -0300

Assunto:Re: [MASOCH-L] Ldap com Freeradius

> Olá André,
> 
> Vou te passar uma lista de sugestões do que possa ser e o que você deve
> fazer para corrigir o problema. Há sugestões para os dois domínios que
> você testou (dc=mshome e dc=radius,dc=org,dc=br).
> 
> Só uma observação: não se preocupe com o schema do radius. Em primeiro
> lugar você não precisa dele para fazer o freeradius+ldap funcionar (pois
> é eu não uso o schema por aqui). Esse schema é apenas opcional.
> 
> -----------------Para o domínio
> dc=teste,dc=radius,dc=org,dc=br------------------------------
> Hipótese: Problemas com indexação no banco do LDAP;
> 
> Esse problema acontece quando você adiciona um novo atributo no
> parâmetro index do slapd.conf. Quando o banco já existe e um novo
> atributo é adicionado, é necessário reindexar a base ldap, senão
> qualquer coisa que ele procurar, mesmo existindo, ele não encontrará. No
> seu caso está:
> 
> index objectClass,uid eq
> 
> Sugiro as seguintes mudanças nesse parâmetro:
> 
> index objectClass eq
> index uid pres,eq
> 
> ou retirar o atributo uid da indexação:
> 
> index objectClass eq
> 
> Após feito essa alteração, pare o daemon do slapd e digite o seguinte
> comando:
> 
> sh # slapindex
> 
> Caso você tenha retirado o "uid" do parâmetro, não é necessário o
> comando acima.
> 
> Inicie novamente o slapd e teste o freeradius. Teste também o comando
> "ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br uid=notebook".
> --------------------------------------------------------------------------------------------
> 
> ------------------------ Para o domínio dc=mshome -------------------------
> Veja que neste domínio o erro já é outro. A primeira coisa a se notar é:
> 
> Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> 
> Ou seja, nentries=1, ele achou o usuário. Porém:
> 
> Sat Jul 26 20:21:08 2008 : Auth: Login incorrect: [teste/teste] (from
> client private-network-1 port 10)
> 
> O que sugere que a senha está incorreta. Como você digitou:
> 
> radtest teste "teste" 192.168.80.254:1812 10 teste
> 
> Com a senha entre aspas, sugiro que você tente sem as aspas. Caso não
> surta resultado, teste a senha do usuário com o comando:
> 
> ldapsearch -x -b dc=mshome -D uid=teste,dc=mshome -W
> 
> Ele pedirá a senha. Se a senha estiver correta ele deverá mostrar a
> base. Senão mostrará uma mensagem de erro. Em caso de problemas com a
> senha utilize o ldappasswd pra alterar a senha:
> 
> ldappasswd -x -S -D cn=admin,dc=mshome -W uid=teste,dc=mshome
> 
> Um detalhe muito importante: Vale lembrar que, se no notebook que você
> está utilizando para testar o login usa windows com o método EAP nativo
> (MsCHAPv2), será necessário adicionar os atributos lmPassword e
> ntPassword para cada usuário. Isso porque esse método EAP só entende
> senhas no formato windows (formato do samba). Talvez você tenha que
> integrar o samba ao LDAP para fazer isso funcionar. Caso você não esteja
> com muita paciência e gostaria apenas de testar, sugiro que instale no
> notebook o seguinte programa:
> 
> http://www.securew2.com/
> 
> Este programa faz autenticação com vários tipos de métodos EAP. Eu
> indico utilizar o TTLS, pelo menos nos testes que você está fazendo. Ele
> não precisa utilizar senhas no formato samba.
> ----------------------------------------------------
> 
> Não desanime de configurar o freeradius+ldap. Apesar do sofrimento
> inicial, o resultado é muito bom. Continue relatando os problemas aqui,
> vamos fazer isso funcionar!
> 
> Atenciosamente,
> 
> André Proto
> 
> 
> 
> André Comarú wrote:
> > André Proto,
> >
> > Li suas dicas e não obtive resultados melhores. Estou quase desistindo
> > disso e tentar outra solução.
> > Estou enviando todos os resultados e arquivos de confs.
> > Mandei até o arquivo do schema, pois já to vendo cabelo em ovo nisso.
> > É um detalhe para deixar qualquer um desanimado.
> > Se puderes dar uma última olhada ficarei agradecido.
> >
> > Abraços
> >
> > André
> >
> >
> > ----- Original Message ----- From: "André Proto"
> > 
> > To: "Mail Aid and Succor, On-line Comfort and Help"
> > 
> > Sent: Friday, July 25, 2008 4:09 PM
> > Subject: Re: [MASOCH-L] Ldap com Freeradius
> >
> >
> > André,
> >
> > Como você viu na resposta do comando, nenhum usuário foi encontrado, ou
> > seja, o problema está no servidor openldap. Ou o slapd.conf está
> > configurado com um sufixo diferente de
> >
> > dc=teste,dc=radius,dc=org,dc=br
> >
> > ou o usuário uid=notebook não foi cadastrado. Verifique se no arquivo
> > slapd.conf se o parâmetro "suffix" está configurado como acima. Caso ele
> > esteja como "dc=radius,dc=org,dc=br", você deve adicionar na sua base
> > LDAP a seguinte entrada:
> >
> > dn: dc=teste,dc=radius,dc=org,dc=br
> > objectClass: dcObject
> > objectClass: organizationalUnit
> > ou: teste
> > dc: teste
> >
> > dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
> > objectClass: top
> > objectClass: radiusprofile
> > objectClass: inetOrgPerson
> > uid: notebook
> > cn: Andre
> > sn: Comaru
> > description: 802.1x
> > radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
> > userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=
> >
> >
> > Adicione as entradas acima com o ldapadd. Execute o comando dinovo
> > (ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br) e verifique se as
> > entradas adicionadas são exibidas.
> >
> > A propósito, você não me mandou o radiusd.conf e sim o radius.log.
> >
> > Atenciosamente,
> >
> > André Proto
> >
> > André Comarú wrote:
> >> André,
> >>
> >> Segue meu radius.conf e a resposta do comando.
> >>
> >> ldapserver:~# ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br
> >> uid=notebook
> >> # extended LDIF
> >> #
> >> # LDAPv3
> >> # base with scope subtree
> >> # filter: uid=notebook
> >> # requesting: ALL
> >> #
> >> # search result
> >> search: 2
> >> result: 0 Success
> >> # numResponses: 1
> >> ldapserver:~#
> >>
> >> Obrigado desde já.
> >>
> >> André
> >>
> >> De:masoch-l-bounces at eng.registro.br
> >>
> >> Para:"Mail Aid and Succor, On-line Comfort and Help"
> >> masoch-l at eng.registro.br
> >>
> >> Cópia:
> >>
> >> Data:Fri, 25 Jul 2008 14:24:42 -0300
> >>
> >> Assunto:Re: [MASOCH-L] Ldap com Freeradius
> >>
> >>
> >>> Olá André,
> >>>
> >>> Analisando seus logs, entendi que ele não está encontrando o usuário na
> >>> base (uid=notebook). Estranho que, apesar do usuário cadastrado, o ldap
> >>> retorna 0 entradas ("nentries=0").
> >>>
> >>> Você poderia postar sua configuração de ldap no arquivo radiusd.conf?
> >>> Aproveite faça o seguinte teste em linha de comando:
> >>>
> >>> ldapsearch -x -b dc=teste,dc=radius,dc=org,dc=br uid=notebook
> >>>
> >>> Veja se realmente o usuário é encontrado. Se não for, aí tem algo
> >>> errado
> >>> com seu openldap e não com o freeradius.
> >>>
> >>> Atenciosamente,
> >>>
> >>> André Proto
> >>>
> >>>
> >>> André Comarú wrote:
> >>>
> >>>> Ola Jeronimo,
> >>>>
> >>>> Eu fiz esta estratégia. Criei no arquivo users 2 usuários. um para
> >>>> teste local e outro via eap-wpa para autenticar via notebook. Os 2
> >>>> testes deram certo.
> >>>>
> >>>> segue no anexo users.
> >>>>
> >>>> Por isso digo q separados estão funcionando.
> >>>>
> >>>>
> >>>> Até
> >>>>
> >>>>
> >>>> De:masoch-l-bounces at eng.registro.br
> >>>>
> >>>> Para:"Mail Aid and Succor,On-line Comfort and Help"
> >>>> masoch-l at eng.registro.br
> >>>>
> >>>> Cópia:
> >>>>
> >>>> Data:Fri, 25 Jul 2008 13:50:29 -0300
> >>>>
> >>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
> >>>>
> >>>>
> >>>>
> >>>>> Sugiro você primeiro fazer o radius autenticar no /etc/passwd e
> >>>>> testar na sua aplicação, para depois partir para o ldap. É uma boa
> >>>>> abordagem para saber onde se encontra o problema, se está no
> >>>>> radius ou
> >>>>> no ldap.
> >>>>>
> >>>>>
> >>>>> André Comarú wrote:
> >>>>>
> >>>>>
> >>>>>> Bom dia Jeronimo,
> >>>>>>
> >>>>>> Por partes:
> >>>>>>
> >>>>>> - Testei com o radtest apontando para um usuário cadastrado no
> >>>>>> ldap com os objectclass apropiados para Radius.
> >>>>>>
> >>>>>> Segue ldif do usuário:
> >>>>>>
> >>>>>> dn: uid=notebook,dc=teste,dc=radius,dc=org,dc=br
> >>>>>> objectClass: top
> >>>>>> objectClass: radiusprofile
> >>>>>> objectClass: inetOrgPerson
> >>>>>> uid: notebook
> >>>>>> cn: Andre
> >>>>>> sn: Comaru
> >>>>>> description: 802.1x
> >>>>>> radiusFilterId: "Enterasys:version=1:policy=Enterprise User"
> >>>>>> userPassword: {SHA}Lm+bDViFtgEPkWd4dEVhf1U6c18=
> >>>>>>
> >>>>>> - Sim, tenho o esquema adicionado no slapd.conf
> >>>>>>
> >>>>>> - Realmente tem bons tutoriais lá. Usei alguns.
> >>>>>>
> >>>>>> Recorri ao fórum por estar sem opções.
> >>>>>>
> >>>>>> Espero conseguir uma luz aqui.
> >>>>>>
> >>>>>> Abraços e obrigado pela atenção.
> >>>>>>
> >>>>>>
> >>>>>> Até
> >>>>>>
> >>>>>> Comarú
> >>>>>> De:masoch-l-bounces at eng.registro.br
> >>>>>>
> >>>>>> Para:"Mail Aid and Succor,On-line Comfort and Help"
> >>>>>> masoch-l at eng.registro.br
> >>>>>>
> >>>>>> Cópia:
> >>>>>>
> >>>>>> Data:Fri, 25 Jul 2008 10:34:08 -0300
> >>>>>>
> >>>>>> Assunto:Re: [MASOCH-L] Ldap com Freeradius
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>> André Comarú wrote:
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>>> Pessoal,
> >>>>>>>>
> >>>>>>>> Estou com um problema na integração do openldap com o freeradius.
> >>>>>>>>
> >>>>>>>> Sozinhos eles estão funcionando legal. Mas juntos não consigo.
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>>>
> >>>>>>> Como você testou para saber se o se o seu radius funciona bem
> >>>>>>> sozinho? Ele é complexo de configurar, dependendo do tipo de
> >>>>>>> autenticação que você escolher, no caso o ldap.
> >>>>>>>
> >>>>>>> Você adicionou o schema do radius no seu servidor ldap ? E populou
> >>>>>>> ele com esses dados ?
> >>>>>>>
> >>>>>>> Sugiro dar uma olhada no site www.vivaolinux.com.br. Lá tem vários
> >>>>>>> tutoriais para integração do radius com ldap. E é complicado mesmo.
> >>>>>>>
> >>>>>>>
> >>>>>>> -- 
> >>>>>>> Jeronimo Zucco
> >>>>>>> LPIC-1 Linux Professional Institute Certified
> >>>>>>> Núcleo de Processamento de Dados
> >>>>>>> Universidade de Caxias do Sul
> >>>>>>>
> >>>>>>> http://jczucco.blogspot.com
> >>>>>>>
> >>>>>>> __
> >>>>>>> masoch-l list
> >>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>> __
> >>>>>> masoch-l list
> >>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> -- 
> >>>>> Jeronimo Zucco
> >>>>> LPIC-1 Linux Professional Institute Certified
> >>>>> Núcleo de Processamento de Dados
> >>>>> Universidade de Caxias do Sul
> >>>>>
> >>>>> http://jczucco.blogspot.com
> >>>>>
> >>>>> __
> >>>>> masoch-l list
> >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>
> >>>>> ------------------------------------------------------------------------
> >>>>>
> >>>>>
> >>>>> __
> >>>>> masoch-l list
> >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >>> ------------------------------------------------------------------------
> >>>
> >>>
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> > ####Via linha de Comando:
> >
> > zeus:/etc/freeradius# radtest teste "teste" 192.168.80.254:1812 10 teste
> > Sending Access-Request of id 157 to 192.168.80.254 port 1812
> > User-Name = "teste"
> > User-Password = "teste"
> > NAS-IP-Address = 192.168.80.254
> > NAS-Port = 10
> > Sending Access-Request of id 157 to 192.168.80.254 port 1812
> > User-Name = "teste"
> > User-Password = "teste"
> > NAS-IP-Address = 192.168.80.254
> > NAS-Port = 10
> > rad_recv: Access-Reject packet from host 192.168.80.254 port 1812,
> > id=157, length=20
> > zeus:/etc/freeradius#
> >
> > log do freeradius
> > Sat Jul 26 20:21:08 2008 : Auth: Login incorrect: [teste/teste] (from
> > client private-network-1 port 10)
> > log do slapd
> >
> > Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SRCH base="dc=mshome"
> > scope=2 deref=0 filter="(uid=teste)"
> > Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SRCH
> > attr=radiusNASIpAddress radiusExpiration acctFlags ntPassword
> > lmPassword radiusCallingStationId radiusCalledStationId
> > radiusSimultaneousUse radiusAuthType radiusCheckItem
> > radiusReplyMessage radiusLoginLATPort radiusPortLimit
> > radiusFramedAppleTalkZone radiusFramedAppleTalkNetwork
> > radiusFramedAppleTalkLink radiusLoginLATGroup radiusLoginLATNode
> > radiusLoginLATService radiusTerminationAction radiusIdleTimeout
> > radiusSessionTimeout radiusClass radiusFramedIPXNetwork
> > radiusCallbackId radiusCallbackNumber radiusLoginTCPPort
> > radiusLoginService radiusLoginIPHost radiusFramedCompression
> > radiusFramedMTU radiusFilterId radiusFramedRouting radiusFramedRoute
> > radiusFramedIPNetmask radiusFramedIPAddress radiusFramedProtocol
> > radiusServiceType radiusReplyItem userPassword sasdefaultloginsequence
> > Jul 26 20:21:08 zeus slapd[2897]: conn=3 op=5 SEARCH RESULT tag=101
> > err=0 nentries=1 text=
> >
> >
> > #### Via notebook-access point
> >
> > Entrei com o mesmo usuário e senha ( teste/teste )
> >
> > log radius:
> >
> > Sat Jul 26 20:20:38 2008 : Auth: Login incorrect: [teste/
> > User-Password attribute>] (from client private-network-1 port 24 cli
> > 0015af114b42)
> >
> > log slapd:
> >
> > Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SRCH base="dc=mshome"
> > scope=2 deref=0 filter="(uid=teste)"
> > Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SRCH
> > attr=radiusNASIpAddress radiusExpiration acctFlags ntPassword
> > lmPassword radiusCallingStationId radiusCalledStationId
> > radiusSimultaneousUse radiusAuthType radiusCheckItem
> > radiusReplyMessage radiusLoginLATPort radiusPortLimit
> > radiusFramedAppleTalkZone radiusFramedAppleTalkNetwork
> > radiusFramedAppleTalkLink radiusLoginLATGroup radiusLoginLATNode
> > radiusLoginLATService radiusTerminationAction radiusIdleTimeout
> > radiusSessionTimeout radiusClass radiusFramedIPXNetwork
> > radiusCallbackId radiusCallbackNumber radiusLoginTCPPort
> > radiusLoginService radiusLoginIPHost radiusFramedCompression
> > radiusFramedMTU radiusFilterId radiusFramedRouting radiusFramedRoute
> > radiusFramedIPNetmask radiusFramedIPAddress radiusFramedProtocol
> > radiusServiceType radiusReplyItem userPassword sasdefaultloginsequence
> > Jul 26 20:20:38 zeus slapd[2897]: conn=3 op=4 SEARCH RESULT tag=101
> > err=0 nentries=1 text=
> >
> >
> > ------------------------------------------------------------------------
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> > 
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list