Skip to content


Partie I) Borne d’accès avec authentification Radius et un annuaire LDAP avec Comptabilité Radius

I) Introduction :

Pourquoi faire un article sur l'installation et la configuration d'une borne wifi avec authentification radius et comptabilité radius ?

Et bien peut-être avez-vous une machine de 4-5 ans ne faisant pas grand chose en votre possession et qu'une connexion wifi pourrait intéresser vos amis !

Seulement voilà, un peu las de payer, vous ne vous sentez pas le courage d'acheter un routeur wifi à quelques centaines d'euros. Ce routeur wifi vous proposera peut être de faire que du radius distant, mais cela ne vous exonéra pas de devoir installer et configurer ce serveur Radius !

La solution est peut être de créer votre propre borne wifi grace à une carte wifi, sur une machine hébergeant les services Radius.

Vous ne dépenserez que le prix d'une carte avec chipset Atheros ~ 23-25€ et un peu de temps !

wpn311

Cet article n'est plus disponible en neuf : http://www.netgear.fr/archives/produit.php?prod=WPN311

Quelques autres produits avec un chipset Atheros : http://www.tuto-fr.com/tutoriaux/carte-wifi-crack-wep-usb-pci-pcmcia.php

Vous disposerez ainsi d'un routeur wifi que vous configurez comme vous l'entendrez !

II) Les attentes :

Nous voulons avoir une borne wifi qui fasse du WPA-Enterprise (WPA TKIP ou CCMP).

  1. C'est à dire que le client WIFI demande une adresse IP à la borne.
  2. La borne s'identifie au près du serveur Radius et lui envoie le login/mdp hashé .
  3. Le serveur Radius regarde quelle «base de données» il doit interroger.
  4. Il contacte le serveur LDAP pour qui lui envoie le mdp hashé du login correspondant si il est autorisé à faire cette demande de connexion.
  5. Le serveur Radius compare alors les deux hashages !
  6. Donne sa réponse : OK/KO

Fonctionnement

III) Prérequis et Conseils :

Ce tutoriel fonctionne sur les distributions, logiciels et matériel suivants :

  • Debian Etch, Lenny, etc...

  • Carte réseau WPN311FS
  • madwifi 0.9.4
  • hostapd 0.5.10
  • Freeradius 2.1.1

Afin que ce guide corresponde totalement à votre environnement, je vous conseille de modifier le niveau de priorité de Debconf. Sur la nouvelle debian Etch et sur Ubuntu le niveau de Debconf est à « Élevé ». Ce qui réduit sensiblement le nombre de questions qui vous sont posées lors de l'installation d'un paquet. On va donc changer le niveau de « Intermédiaire » à « basse » pour contrôler un maximum la pré-configuration si il y a lieu.

Pour cela tapez en "root" dans un terminal :

# dpkg-reconfigure debconf

Choisissez "Dialogue" puis "intermédiaire" ou "basse"

IV Installation du serveur Freeradius :

Il vous faut récupérer le source de freeradius ! En effet un problème de licence d'un des modules de freeradius (rlm_eap_tls) fait que celui-ci ne se trouve pas dans le paquet officiel !

ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.1.tar.gz

ou ici pou ceux qui veulent ce documenter. http://freeradius.org/download.html

Pour compiler Freeradius il faut installer quelques librairies de développement :

# apt-get install openssl libssl-dev libldap2-dev g++ build-essential debian-builder libgdbm-dev libmysql++-dev libmysqlclient15-dev starttls tcl-tls

Les versions des paquets sont/seront ceux de Debian stable Etch au moment de votre installation. (Aujourd'hui 01/09/2008).

Compilons notre Freeradius :

$ ./configure --prefix=/usr --libdir=/usr/lib --with-experimental-modules
$ make
$ su
password: 
# make install

Cela installera, les exécutables dans /usr/bin, les fichiers de configurations dans /usr/etc, les journaux dans /usr/log/raddb.

Tests

Vous pouvez dès à présent tester le serveur freeradius avec la ligne de commande suivante :

Attention : Lors du premier lancement il y a création des certificats. Ce sont ceux par défaut. Ils se trouvent dans /usr/etc/raddb/certs. Ils sont utilisés dans le fichier modules/inner-eap.

# radiusd -X
FreeRADIUS Version 2.1.1, for host i686-pc-linux-gnu, built on Sep 30 2008 at 07:25:52
Copyright (C) 1999-2008 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
Starting - reading configuration files ...
including configuration file /usr//etc/raddb/radiusd.conf
including configuration file /usr//etc/raddb/proxy.conf
including configuration file /usr//etc/raddb/clients.conf

--- bla bla ---

 Module: Checking post-auth {...} for more modules to load
 }
radiusd: #### Opening IP addresses and Ports ####
listen {
        type = "auth"
        ipaddr = *
        port = 0
}
listen {
        type = "acct"
        ipaddr = *
        port = 0
}
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on proxy address * port 1814
Ready to process requests.

Votre serveur Radius écoute et attend ! Simple !

V) Configuration de Freeradius :

Nous allons modifier quelques fichiers : clients.conf, radiusd.conf, modules/ldap, site-enabled/default, site-enabled/inner-tunnel.

Tout d'abord le fichier clients.conf :

client localhost {
           # Cette partie permet l'authentification de la borne
           # au près du service Radius si la borne est sur la
           # même machine.
        ipaddr = 127.0.0.1
        secret = !unmotdepassefort!
        require_message_authenticator = no
        shortname = localhost
        #
        # The nastype tells 'checkrad.pl' which NAS-specific method to
        #  use to query the NAS for simultaneous use.
        #
        #  Permitted NAS types are:
        #
        #       cisco
        #       computone
        #       livingston
        #       max40xx
        #       multitech
        #       netserver
        #       pathras
        #       patton
        #       portslave
        #       tc
        #       usrhiper
        #       other           # for all other types

        #
        nastype = other # localhost isn't usually a NAS...
}
client adrIP/mask {
           # Cette partie permet l'authentification de la borne
           # au près du service Radius si la borne est sur l'
           # adresse réseau adrIP/mask.
        secret          = !unmotdepassefort!
        shortname       = private-network-2 # un nom quelconque de ce réseau
}

Le fichier radiusd.conf :

Nous allons modifier la partie « journaux » et la partie "modules".

#
#  Logging section.  The various "log_*" configuration items
#  will eventually be moved here.
#
log {
.... bla bla ...
        #
        stripped_names = yes

        #  Log authentication requests to the log file.
        #
        #  allowed values: {no, yes}
        #
        auth = yes

        #  Log passwords with the authentication requests.
        #  auth_badpass  - logs password if it's rejected
        #  auth_goodpass - logs password if it's correct
        #
        #  allowed values: {no, yes}
        #
        auth_badpass = yes
        auth_goodpass = yes
}
.... bla bla ...
modules {
	#
	#  Each module has a configuration as follows:
.... bla bla ...
	#  Include another file that has the SQL-related configuration.
	#  This is another file only because it tends to be big.
	#
	$INCLUDE sql.conf
.... bla bla ...
}

Le fichier modules/ldap :

ldap {
        #
        #  Note that this needs to match the name in the LDAP
        #  server certificate, if you're using ldaps.
        server = "nomdhote"
        identity = "cn=admin,dc=DOMAIN,dc=local"
        password = !motdepasseadminldap!
        basedn = "dc=DOMAIN,dc=local"
        filter = "(&(uid=%{Stripped-User-Name:-%{User-Name}})(dialupAccess=yes))"
        #base_filter = "(objectclass=radiusprofile)"

.... bla bla ....
        # default_profile = "cn=radprofile,ou=dialup,dc=dom-sln,dc=local"
        # profile_attribute = "radiusProfileDn"
        access_attr = "dialupAccess"
           # Cet attribut LDAP nous permettra de filtrer les utilisateurs autorisés
           # ou pas ! Si dialupAccess alors autorisés, sinon pas !
           # Là il vous faudra ajouter cet attribut à chaque compte utilisateur, 
           # de l'annuaire, autorisé à se connecter à la borne
           # J'essayerais par les groupes ! ;) Voir plus bas !

        # Mapping of RADIUS dictionary attributes to LDAP
.... bla bla ...
        password_attribute = userPassword
        #  Un-comment the following to disable Novell
.... bla bla ....
}

Le fichier site-enabled/default :

Nous modifions la partie « authorize », « authenticate » et « accounting».

authorize {
.... bla bla ....
        #
        #  Look in an SQL database.  The schema of the database
        #  is meant to mirror the "users" file.
        #
        #  See "Authorization Queries" in sql.conf
        sql
.... bla bla ....
        #
        #  The ldap module will set Auth-Type to LDAP if it has not
        #  already been set
        ldap

.... bla bla ....
}

.....

authenticate {
.... bla bla ....
        # Uncomment it if you want to use ldap for authentication
        #
        # Note that this means "check plain-text password against
        # the ldap database", which means that EAP won't work,
        # as it does not supply a plain-text password.
        Auth-Type LDAP {
                ldap
        }

        #
        #  Allow EAP authentication.
        eap
}
accounting {
.... bla bla ....
#
        #  Log traffic to an SQL database.
        #
        #  See "Accounting queries" in sql.conf
        sql

        #
        #  Instead of sending the query to the SQL server,
        #  write it into a log file.
        #
        sql_log
.... bla bla ....
}

Le fichier sites-enabled/inner-tunnel :

Nous modifions la partie « autorize » et « authenticate ».

authorize {
.... bla bla ....
        #
        #  The ldap module will set Auth-Type to LDAP if it has not
        #  already been set
        ldap
.... bla bla ....
        #
        # Use the checkval module
        # Pour n'accepter que certaines valeurs des attributs du uid concerné
        checkval
.... bla bla ....
}

.... bla bla ....

authenticate {
.... bla bla ....
        # Uncomment it if you want to use ldap for authentication
        #
        # Note that this means "check plain-text password against
        # the ldap database", which means that EAP won't work,
        # as it does not supply a plain-text password.
        Auth-Type LDAP {
                ldap
        }

        #
        #  Allow EAP authentication.
        eap
}

Normalement votre serveur Radius est près... Vous devriez pouvoir lancer radius -X, pour vérifier les alertes !

VI) Installation et configuration de la borne :

Vous pouvez suivre le tutoriel rapide : http://www.system-linux.net/config/access-point/

Il faut installer les mêmes paquets...

Configuration de la borne AP

Le fichier /etc/hostapd/hostapd.conf.wpa2-enterprise :

:

interface=nominterface (eth0, ath0, ra0, etc...)
ssid=VotreESSID
driver=votrepilote (madwifi, ndiswrapper, wext, wired, etc...)
logger_syslog=-1
logger_syslog_level=4
logger_stdout=--1
logger_stdout_level=4
debug=4
ctrl_interface_group=0

# Comment gérer les adresses MAC (adresse Hardware des cartes réseaux)
# C'est une sécurité qui peut facilement être contournée, mais est
# néanmoins pratique, car elle est facile à mettre en place
# En effet, hostAPd va vérifier l'adresse MAC de la carte Wifi qui fait une
# demande d'accès et pourra alors, sur cette seule adresse, soit continuer le
# processus d'identification, soit s'arrêter et refuser la carte.
# Les paramètres possibles sont les suivants :
# 0 : Tout accepter à moins qu'elle ne soit dans la liste noire
# 1 : Tout refuser, à moins qu'elle ne soit dans la liste blanche
# 2 : Vérifier l'adresse auprès d'un serveur RADIUS (honnêtement, pour son réseau local, ça ne sert à rien)
# Le meilleur paramètre pour commencer est 1. Ça réduit de beaucoup les risques de piratage.
macaddr_acl=2
#deny_mac_file=/etc/hostapd/hostapd.deny
#accept_mac_file=/etc/hostapd/hostapd.accept

ieee8021x=1
own_ip_addr= adrIP
nas_identifier=nomdhote
auth_server_addr= adrIP
auth_server_port=1812
auth_server_shared_secret=!unmotdepassefort!
acct_server_addr= adrIP
acct_server_port=1813
acct_server_shared_secret=!unmotdepassefort!
radius_acct_interim_interval=6

wpa=3
wpa_key_mgmt=WPA-EAP
wpa_pairwise=TKIP CCMP
wpa_group_rekey=300
wpa_gmk_rekey=6400

Création du script de lancement de la borne AP

Comme dans le tutoriel http://www.system-linux.net/config/access-point/

Nous créons un script bash qui lancera les commandes de destruction, construction, configuration et de paramètres de la borne AP. Ce script sera dans /etc/init.d

#!/bin/sh

# Création de la carte ath0 et du point d'accès debian-AP
echo "Création de la carte ath0 et du point d'accès debian-AP";

ifconfig NomCarte down;
wlanconfig NomCarte destroy;
wlanconfig NomCarte create wlandev wifi0 wlanmode ap;
echo "Veuillez patienter...";
sleep 2;
echo "Activation de ath0";

ifconfig NomCarte mtu 1492 adrIP netmask mask up;
kill `pidof radiusd`;
radiusd;
killall hostapd;
/usr/sbin/hostapd -B -P /var/run/hostapd.pid -dd -K -t /etc/hostapd/hostapd.conf.wpa2-enterprise;

echo "Veuillez patienter...";
sleep 1;
echo "Mise en place des options du point d'accès debian-AP";
iwconfig NomCarte key restricted;
iwconfig NomCarte nickname "unNickName";

echo "Veuillez patienter...";
sleep 1;
echo "Mise en place des options DHCP";
/etc/init.d/dhcp3-server restart;

echo "Veuillez patienter...";
sleep 1;
iwconfig NomCarte channel VotreCanal;

echo "Veuillez patienter...";
sleep 1;
echo "Mise en place du routage NAT internet";
echo 1 > /proc/sys/net/ipv4/ip_forward;
iptables -t nat -A POSTROUTING -o NomCarteInternet -j MASQUERADE;
/etc/init.d/samba restart;

Configuration du serveur DHCP

Le fichier se trouve : /etc/dhcpd3/dhcpd.conf

ddns-update-style none;
option domain-name "DOMAIN.local";

default-lease-time 600;
max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# wifi
subnet adrIPrz netmask mask {
        range IP1 IP2;
        option domain-name-servers IPDNS1, IPDNS2, IPDNS3;
        option routers adrIP;
        option broadcast-address adrIPbroadcast;
        default-lease-time 600;
        max-lease-time 7200;
}

VII) Adaptation de notre annuaire :

Nous devons ajouter l' ObjectClass = radiusProfile à nos comptes utilisateurs afin de coupler OpenLDAP à FreeRadius. Pour cela il faut ajouter le schéma Radius à notre annuaire.

Le schéma se trouve dans :

/làoùvousavezdécompressélesource/freeradius-server-$version/doc/examples/openldap.schema.

Renommez le en freeradius.schema et mettez le dans /etc/ldap/schema(*).

Et ajouter l'attribut « dialupAccess », j'ai mis la valeur « yes », mais peu importe.

Faites le avec phpLDAPadmin ou ApacheDirectoryStudio.

(*) : Le schéma fourni avec les sources de Freeradius fixe le nombre de valeur à une pour « radiusCallingStation ». Cet attribut peut-être excessivement utile, en effet on y met l'adresse physique de la machine (00-1A-70-AE-D4-53). Et il est plus souple de constater qu'un compte peut avoir besoin de se connecter à partir d'une machine qui ne soit pas la sienne ! Il faut modifier le fichier freeradius.schema :

attributetype
   ( 1.3.6.1.4.1.3317.4.3.1.7
      NAME 'radiusCallingStationId'
      DESC ''
      EQUALITY caseIgnoreIA5Match
      SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
      SINGLE-VALUE
   )

en

attributetype
   ( 1.3.6.1.4.1.3317.4.3.1.7
      NAME 'radiusCallingStationId'
      DESC ''
      EQUALITY caseIgnoreIA5Match
      SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
   )

Sous Squeeze :

Créez un fichier convert-file.conf :

include         /etc/ldap/schema/openldap.schema

On va convertir ce fichier en fichier LDIF :

# slapcat -f /etc/ldap/convert-file.conf -F /tmp/ldif_output -n0 -s "cn={4}openldap,cn=schema,cn=config" > /tmp/cn=openldap.ldif
# cp /tmp/ldif_output/cn\=config/cn\=schema/cn\=\{4\} openldap.ldif /etc/ldap/slapd.d/cn\=config/cn\=schema/
# chown openldap:openldap /etc/ldap/slapd.d/cn=config/cn=schema/cn={4}openldap.ldif 

J'ai aussi modifié le script perl smbldap-useradd pour ajouter cet attribut.

Modifiez cette partie à partir de la ligne 310 :

En :

# USER ACCOUNT
# add posix account first
my $add;
# if AIX account, inetOrgPerson obectclass can't be used
if (defined($Options{'b'})) {
        $add = $ldap_master->add ("uid=$userName,$config{usersdn}",
                            attr => [
                            'objectclass' => ['top','person', 'organizationalPerson', 'posixAccount','shadowAccount' ,
                                                                                                          'radiusProfile'],
                                              'cn'   => "$userCN",
                                              'sn'   => "$userSN",
                                              'uid'   => "$userName",
                                              'uidNumber'   => "$userUidNumber",
                                              'gidNumber'   => "$userGidNumber",
                                              'homeDirectory'   => "$userHomeDirectory",
                                              'loginShell'   => "$config{userLoginShell}",
                                              'gecos'   => "$config{userGecos}",
                                              'userPassword'   => "{crypt}x",
                                              'dialupAccess'   => "yes",
                                              'radiusCallingStationId'  => "00-00-00-00-00-00",
                                              'radiusFramedIPAddress'   => "10.3.1.X",
                                              'radiusFramedIPNetmask'   => "255.255.255.0",
                                              'radiusFramedProtocol'    => "PPP",
                                              'radiusFramedRouting'     => "None",
                                              'radiusServiceType'       => "Framed-User"
                                             ]
                                );
} else {
        $add = $ldap_master->add ("uid=$userName,$config{usersdn}",
                             attr => [
                             objectclass' => ['top','person', 'organizationalPerson', 'inetOrgPerson','posixAccount','shadowAccount',
                                                                                                            'radiusProfile'],
                                              'cn'   => "$userCN",
                                              'sn'   => "$userSN",
                                              'givenName'   => "$givenName",
                                              'uid'   => "$userName",
                                              'uidNumber'   => "$userUidNumber",
                                              'gidNumber'   => "$userGidNumber",
                                              'homeDirectory'   => "$userHomeDirectory",
                                              'loginShell'   => "$config{userLoginShell}",
                                              'gecos'   => "$config{userGecos}",
                                              'userPassword'   => "{crypt}x",
                                              'dialupAccess'   => "yes",
                                              'radiusCallingStationId'  => "00-00-00-00-00-00",
                                              'radiusFramedIPAddress'   => "10.3.1.X",
                                              'radiusFramedIPNetmask'   => "255.255.255.0",
                                              'radiusFramedProtocol'    => "PPP",
                                              'radiusFramedRouting'     => "None",
                                              'radiusServiceType'       => "Framed-User"
                                             ]
                                );
}
$add->code && warn "failed to add entry: ", $add->error ;

Voir la suite

Print Friendly, PDF & Email

Posted in Debian, Linux, Technique, Toutes. Tagged with , , , , .

25 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Saibinux said

    Salut Laurent.

    Merci pour ce tuto. Je vais le suivre tout de sutie à la lettre et te dire si tout fonctionne

  2. admin said

    Je l'ai moi-même appliqué plusieurs fois, mais si un détail, voir un gros détail, m'aurait échappé ! 🙂
    N'hésitez pas à m'en faire part !

  3. Guillemaind said

    Bonjour,

    J'ai suivi votre tuto pour installer FreeRadius sur un Ubuntu. J'arrive à le lancer avec la commande radiusd -X.

    Par contre j'ai un soucis, c'est que ma carte wifi est une Intel Pro 3945ABG, donc normalement, la partie VI du tuto ne me concerne pas, mais alors comment faire avec ma carte wifi, le dhcp .... Sinon, je possède un routeur wifi Netgear DG834G V2, est til possible de s'en servir comme "carte wifi" ??

    Puis je ne trouve pas la partie du shell à modifier. En faite, j'ai du code qui y ressemble mais il en manque une grande partie, peut etre parce que j'utilise la dernière version de freeradius ?

    J'ai des problèmes de requêtes SQL mais c'est peut être parce que mes tables sont vides.

    Cordialement

  4. admin said

    Salut Guillemaind,

    Comme je l'ai dit à Nico : http://monblog.system-linux.net/blog/2008/10/25/bonjour-tout-le-monde/1/#comment-282
    Le Netgear 834GT fonctionne avec Radius !

    Dans l’interface de gestion du netgear à la partie “Paramètres Sans Fil” il y a :
    - Disable
    - WEP
    - WPA-PSK
    - WPA-802.1x
    Tu coches WPA-802.1x : Tu mets l’adresse IP de ton serveur Radius son port (1812 par défaut) et la clef pré-partagée…

    C'est parce que je me suis placé dans la situation où je n'avais pas de routeur wifi, que j'ai mis la configuration de hostapd...
    Je n'ai jamais utilisé une carte Intel Pro pour faire un AP...
    Reportes toi sur la doc de : firmware-iwlwifi
    Contents:
    * Intel Wireless 3945 firmware, version 15.28.1.6
    * Intel Wireless 4965 firmware, version 228.57.1.21
    * Intel Wireless 4965 firmware, version 228.57.2.21

    Par contre "Puis je ne trouve pas la partie du shell à modifier" me laisse perplexe, je n'ai pas été assez compréhensible, mais où ?
    Si c'est au niveau du script de lancement de la borne c'est en relation avec la carte/chipset Atheros, pas Intel !
    La commande wlanconfig étant dans le paquet madwifi-tools.

    Pour les requêtes SQL, c'est bizarre, mais j'ai fait une install à partir de mon tutos et cela fonctionne... Peut-être as tu oublié de changer la partie SQL de radius :
    Dans le fichier "site-enable/default" :
    #
    # Log traffic to an SQL database.
    #
    # See “Accounting queries” in sql.conf
    sql

    et

    #
    # After authenticating the user, do another SQL query.
    #
    # See “Authentication Logging Queries” in sql.conf
    sql

    }

    Et non mes tables (initialement) aussi sont vides, elles se remplissent (radpostauth et radacct) toutes seules !

    Cordialement,

    PS : Vous pouvez tous me tutoyer ! 😉

  5. guillemaind said

    salut,

    J'ai reverifié les diifferents script, sql n'est plus en commentaire.

    Au niveau des requetes, le probleme vient de la ligne 6 du fichier index.php :"select *[...] desc";

    De la ligne 13 du fichier config.inc.db.php:"le serveur est inaccessible..."

    De la ligne 13 du fichier résultat: "select * [...] '$username'";

    cordialement

  6. admin said

    Effectivement le fait de mettre ce code php dans le blog modifie quelque peu son interprétation.
    Je cherche une solution pour avoir le code sans ambiguïté ! 🙁

  7. cobra85 said

    Bonjours,

    J'ai installé Freeradius, la derniere version, à partir du tuto mais je rencontre quelques soucis.

    - Je n'ai que 7 tables dans la base Radius, j'ai donc créé la table NAS.
    - Quand je fait le radtest, il me retourne une erreur.
    - Quand je décommente la ligne readclients = yes dans le fichier sql.conf, j'ai une erreur lors du lancement de la commande radiusd -X

  8. admin said

    Lorsque l’on crée la base avec la méthode du tuto il n’y a que sept tables…
    Mais n’en utilisant que deux (tables), il n’y a pas de problème.

    Radtest, te met une erreur, mais laquelle ?
    Quand je décommente la ligne readclients = yes : En aurais-je parlé ?

    Relis le tuto ! 🙂

  9. cobra85 said

    Salut, voici l'erreur que j'ai:

    radtest test0 userpassword 127.0.0.1 0 naspassword
    Sending Access-Request of id 47 to 127.0.0.1 port 1812
    User-Name = "test0"
    User-Password = "userpassword"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0
    rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=47, length=20
    rad_verify: Received Access-Reject packet from client 127.0.0.1 port 1812 with invalid signature (err=2)! (Shared secret is incorrect.)

  10. admin said

    Shared secret is incorrect : Ton mot de passe partagé est faux.

    Vérifies ton clients.conf et le "naspassword" dans les parties :
    client ***** {
    ...
    }

    ***** : Là où tu as dû changer les mots de passes

  11. cobra85 said

    Dans le clients.conf j'ai:
    client 127.0.0.1 {
    secret = naspassword
    shortname = localhost
    }

    et il m'affiche une erreur:

    Acces-Reject packet from host 127.0.0.1 port 1812, id=198 lenght=20

    En faite, j'ai l'impression qu'il ne se connecte pas à la base SQL

  12. admin said

    Une chose me gène !
    User-Name = “test0″
    User-Password = “userpassword”
    NAS-IP-Address = 127.0.1.1 <<<------- Là NAS-Port = 0 Par rapport à : Acces-Reject packet from host 127.0.0.1 <<<-----Là Essayes d'ajouter à la fin de ton clients.conf : client 0.0.0.0/0 { secret = naspassword shortname = monnasamoi } Relance : radiusd -X

  13. cobra85 said

    j'ai rajouter les lignes mais il donne tj une erreur:
    radtest test0 userpassword 0.0.0.0 0 naspassword
    User-Name = “test0″
    User-Password = “userpassword”
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0

    Acces-Reject packet from host 127.0.0.1 port 1812, id=198 lenght=20
    radclient: received respond to request we did not send. (id=137 socket 3)

    Comme je test en local, je devrait avoir pour NAS-IP-Address
    255.255.255.255

  14. admin said

    Non, il faut faire la même requête !
    radtest test0 userpassword 127.0.0.1 0 naspassword

  15. cobra85 said

    j'ai mis test0 userpassword 127.0.0.1 0 naspassword mais j'ai comme erreur la ligne suivante:

    User-Name = “test0″
    User-Password = “userpassword”
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0

    Acces-Reject packet from host 127.0.0.1 port 1812, id=198 lenght=20

  16. admin said

    Et les erreurs qui apparaissent avec radiusd -X ?

  17. admin said

    Par exemple lorsque je mets un mot de passe user faux :
    [ldap] login attempt by "lolo" with password "xfer978"
    [ldap] user DN: uid=lolo,ou=Users,dc=dom-sln,dc=local
    rlm_ldap: (re)connect to 10.1.1.254:389, authentication 1
    rlm_ldap: bind as uid=lolo,ou=Users,dc=dom-sln,dc=local/xfer978 to 10.1.1.254:389
    rlm_ldap: waiting for bind result ...
    rlm_ldap: Bind failed with invalid credentials
    ++[ldap] returns reject
    Failed to authenticate the user.

  18. hanen said

    salut,
    je souhaite configurer mon point d’accés à mener les requettes d’authentification d’un client à un serveur radius (sachant que j’utilise la methode login/mot de passe). Tout d’abord j’ai installée et j’ai configurée mon serveur correctement , car le test de cette configuration par la commande "radtest" a réussi. Ensuite j’ai configurée mon point d’accés à utiliser le serveur radius ( j’ai donner l’@ IP du serveur, le numéro de port et le mot de passe partagé). Puis j’ai connectée la machine serveur à mon point d’accés par une liaision cablée.
    Lors du premier accés de mon client au point d’accés il est demandé de saisir le login et le mot de passe et un autre champ appelé “anonymous identity” que je le laisse vide car je ne sais pas de quoi il s’agit et je remplis les 2 autres, et un autre message s’affiche ensuite pour verifier la non utilisation du certificat que je l’ignore.
    Mon probléme est que l’authentification échoue et je serais demandée de saisir une autre fois ces informations.
    je me demande si quelqu’un peut m’aider
    Merci d’avance

  19. khaled said

    Bonjour,
    j'ai installé freeradius sur une machine virtuelle (ubuntu), radius -X et radtest se passent bien.
    Je veux maintenant se connecter à radius à partir de windows via java. quel sont les commandes à entrer dans mon code java?
    Et est ce que je peux me connecter dans ubuntu à partir de firefox par l'adresse http://localhost:1812/ ?
    Merci d'avance

  20. admin said

    En gros tu veux envoyer le proto http sur le port 1812 du radius...
    Et que crois-tu que le navigateur comprendra ?
    La réponse est non !
    "La connexion a échoué

    Firefox ne peut établir de connexion avec le serveur à l'adresse localhost:1814.

    * Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus
    tard ;

    * Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
    au réseau de votre ordinateur ;

    * Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy,
    assurez-vous que Firefox est autorisé à accéder au Web.
    "

  21. kamagate said

    Slt, moi je ne m'y connais en rien. cependant, je souhaiterais vraiment apprendre à installer le serveur freeradius sur windows, le configurer et l'utiliser pour sécuriser l'accès à un AP.

    je vois que vous maîtrisez le sujet. votre aide me sera précieuse et salutaire. merci d'avance

  22. admin said

    Bonjour,
    Mettre en place un système Radius sous Windows sur la base de Freeradius est moins simple que sous Linux. En effet il faut lui préparer un environnement apte à l’accueillir "cygwin" afin qu'il puisse s'installer. Cependant attention, il ne faut pas oublier que si des erreurs sont rencontrées, certaines viendront de l'environnement et non du paramétrage.
    C'est pourquoi, on ne peut garantir le bon fonctionnement de Freeradius sous Windows.

    Je t'invite tout de même à lire et comprendre ces pages :
    http://freeradius.net/
    http://freeradius.org/
    http://cygwin.org/
    etc.
    🙂

  23. LightSight said

    Bonjour ,
    j'ai un problème urgent à régler c'est à propos de la communication entre freeradius et ldap. En fait je n'arrive pas à tester avec l'outil radtest mes utilisateurs enregistrés dans mon annuaire. j'ai tout le temps Access-Reject. J'ai correctement installer et configurer ldap, installer freeradius et je n'ai éditer que les parties ci-dessous:
    /etc/freeradius/modules/ldap où j'ai renseigné mon serveur ldap ie "127.0.0.1"
    identity, password, basedn, access_attr "dialupAccess" en fait correctement
    /etc/freeradius/sites-enabled/default où j'ai décommenter ldap et Auth-Type LDAP
    j'ai fait pareil pour /etc/freeradius/sites-enabled/inner-tunnel
    je ne sais plus quoi faire j'ai installer désinstaller changer d'os toujours rien.
    mon os: debian squeeze
    et après cela je dois coupler mes serveur ldap+freeradius à pfsense pour une authenfication sécuriser d'un point d'acces wifi.

  24. lolotux said

    Bonsoir,

    Les message d'erreur de radius, quels sont-ils ?

Some HTML is OK

(required)

(required, but never shared)

or, reply to this post via trackback.

Time limit is exhausted. Please reload CAPTCHA.


/* */
Creative Commons License
Cette création par Laurent Besson est mise à disposition selon les termes de la licence Creative Commons Paternité-Partage des Conditions Initiales à l'Identique 2.0 France.