Pb FreeRadius + Filtrage @MAC
dragonphoto
-
grkonan -
grkonan -
Bonjour,
En stage depuis quelques mois, je dois mettre en place un accès Wifi sécurisé avec les éléments existants : AP 1100 Cisco, clients Windows XP SP1, serveur sous Linux Fedora Core 6, FreeRadius 1.1.3 et OpenSSL 0.9.8b.
Le but est de faire une vérification des adresses MAC, voire ajouter une authentification par "login + mot de passe" de Windows, mais ça c'est pas obligé, car le réseau filaire est déjà sécurisé.
L'AP peut gérer le filtrage @MAC, mais comme il y a plusieurs AP, il faut centraliser la gestion sur le serveur, dans un simple fichier texte où les adresses MAC sont les unes sous les autres.
Mon souci est que je n'arrive pas à faire comprendre au serveur (à FreeRadius je suppose) qu'il faut utiliser tel fichier pour contrôler ces adresses MAC.
Auriez-vous une idée SVP, car là je bloque.
Je cherche sur le web depuis quelques jours mais personne ne fait ça, tout est avec du (My)SQL.
Je me disais qu'on pouvait activer le SQL dans radiusd.conf et mettre le chemin du fichier contenant les @MAC, mais je trouve pas où ni comment.
J'espère que vous aurez le temps et l'envie de me donner un coup de main, car je sais que je ne suis pas loin de la solution, mais un truc m'échappe.
Merci beaucoup.
En stage depuis quelques mois, je dois mettre en place un accès Wifi sécurisé avec les éléments existants : AP 1100 Cisco, clients Windows XP SP1, serveur sous Linux Fedora Core 6, FreeRadius 1.1.3 et OpenSSL 0.9.8b.
Le but est de faire une vérification des adresses MAC, voire ajouter une authentification par "login + mot de passe" de Windows, mais ça c'est pas obligé, car le réseau filaire est déjà sécurisé.
L'AP peut gérer le filtrage @MAC, mais comme il y a plusieurs AP, il faut centraliser la gestion sur le serveur, dans un simple fichier texte où les adresses MAC sont les unes sous les autres.
Mon souci est que je n'arrive pas à faire comprendre au serveur (à FreeRadius je suppose) qu'il faut utiliser tel fichier pour contrôler ces adresses MAC.
Auriez-vous une idée SVP, car là je bloque.
Je cherche sur le web depuis quelques jours mais personne ne fait ça, tout est avec du (My)SQL.
Je me disais qu'on pouvait activer le SQL dans radiusd.conf et mettre le chemin du fichier contenant les @MAC, mais je trouve pas où ni comment.
J'espère que vous aurez le temps et l'envie de me donner un coup de main, car je sais que je ne suis pas loin de la solution, mais un truc m'échappe.
Merci beaucoup.
A voir également:
- Pb FreeRadius + Filtrage @MAC
- Adresse mac - Guide
- @ Sur mac - Guide
- Temperature mac - Guide
- Nettoyer son mac - Guide
- Mac os 15 - Accueil - MacOS
2 réponses
Bon, j'ai réussi à résoudre cette partie.
Par contre maintenant quand je lance le serveur "radiusd -x" et que dans une autre console je tape la commande :
"radtest Vincent vince 127.0.0.1:1812 10 thesecret"
ou
"echo "User-Name=Vincent, User-Password=vince" | radclient -x 127.0.0.1 auth thesecret"
j'ai cette erreur :
"rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=153, length=20"
et sur la console où le radiusd est lancé :
"rad_recv: Access-Request packet from host 127.0.0.1:32925, id=153, length=59
User-Name = "Vincent"
User-Password = "vince"
NAS-IP-Address = 255.255.255.255
NAS-Port = 10
rad_recv: Access-Request packet from host 127.0.0.1:32925, id=153, length=59
Sending Access-Reject of id 153 to 127.0.0.1 port 32925"
Donc le Radius reçoit bien la requête d'authentification, mais la rejette et je n'arrive pas à trouver pourquoi.
Mon fichier USERS : ----------------------------------------------------
Vincent Auth-Type == Local
User-Password == "vince"
----------------------------------------------------------------------------
Plus simple on peut pas Razz
Mon fichier CLIENT.CONF : --------------------------------------------
# AP 1100 Cisco
client 192.168.7.21 {
shortname = AP1100
type = cisco
secret = thesecret
}
# Client LOCAL
client 127.0.0.1 {
shortname = localhost
type = cisco
secret = thesecret
}
# Tout le reseau 7.0
client 192.168.7.0 {
shortname = Maquette
type = cisco
secret = thesecret
}
----------------------------------------------------------------------------
Mon fichier EAP.CONF : --------------------------------------------
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
leap {
}
gtc {
#challenge = "Password: "
auth_type = PAP
}
tls {
private_key_password = sentence
private_key_file = /root/certif/private/cakey.pem
certificate_file = /root/certif/private/cakey.pem
CA_file = /root/certif/root.pem
dh_file = ${raddbdir}/certs/dh.pem
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
#proxy_tunneled_request_as_eap = yes
}
mschapv2 {
}
}
----------------------------------------------------------------------------
Sachant que dans le fichier radiusd.conf, le port d'écoute est bien le 1812.
Voilà, vous savez tout (j'espère).
Encore merci.
Par contre maintenant quand je lance le serveur "radiusd -x" et que dans une autre console je tape la commande :
"radtest Vincent vince 127.0.0.1:1812 10 thesecret"
ou
"echo "User-Name=Vincent, User-Password=vince" | radclient -x 127.0.0.1 auth thesecret"
j'ai cette erreur :
"rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=153, length=20"
et sur la console où le radiusd est lancé :
"rad_recv: Access-Request packet from host 127.0.0.1:32925, id=153, length=59
User-Name = "Vincent"
User-Password = "vince"
NAS-IP-Address = 255.255.255.255
NAS-Port = 10
rad_recv: Access-Request packet from host 127.0.0.1:32925, id=153, length=59
Sending Access-Reject of id 153 to 127.0.0.1 port 32925"
Donc le Radius reçoit bien la requête d'authentification, mais la rejette et je n'arrive pas à trouver pourquoi.
Mon fichier USERS : ----------------------------------------------------
Vincent Auth-Type == Local
User-Password == "vince"
----------------------------------------------------------------------------
Plus simple on peut pas Razz
Mon fichier CLIENT.CONF : --------------------------------------------
# AP 1100 Cisco
client 192.168.7.21 {
shortname = AP1100
type = cisco
secret = thesecret
}
# Client LOCAL
client 127.0.0.1 {
shortname = localhost
type = cisco
secret = thesecret
}
# Tout le reseau 7.0
client 192.168.7.0 {
shortname = Maquette
type = cisco
secret = thesecret
}
----------------------------------------------------------------------------
Mon fichier EAP.CONF : --------------------------------------------
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
leap {
}
gtc {
#challenge = "Password: "
auth_type = PAP
}
tls {
private_key_password = sentence
private_key_file = /root/certif/private/cakey.pem
certificate_file = /root/certif/private/cakey.pem
CA_file = /root/certif/root.pem
dh_file = ${raddbdir}/certs/dh.pem
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
#proxy_tunneled_request_as_eap = yes
}
mschapv2 {
}
}
----------------------------------------------------------------------------
Sachant que dans le fichier radiusd.conf, le port d'écoute est bien le 1812.
Voilà, vous savez tout (j'espère).
Encore merci.
