Preciso de Ajuda com Freeradius 2.x e Ubuntu 8.10 ou 9.04

[leandropds]

Sim utilizei mysql PostsgreSQL.

Qualquer Duvida estou a disposição.

[muriloc4]

Sim utilizei mysql PostsgreSQL.

Qualquer Duvida estou a disposição.

no meu esta dando este erro, o que pode ser ??

Tue Aug 25 20:01:25 2009 : Error: rlm_sql: Failed to create the pair: Invalid octet string "00:15:F2:33:10:56" for attribute name "Calling-Station-Id "
Tue Aug 25 20:01:25 2009 : Error: rlm_sql (sql): Error getting data from database
Tue Aug 25 20:01:25 2009 : Error: [sql] SQL query error; rejecting user

[leandropds]

Poderia enviar os arquivos de configuração, que estão na pasta:

/etc/freeradius

compacte a pasta e mande por e-mail

[email protected]

[amaia]

O calling-station-id tem que ser preenchido da seguinte forma:
00-15-F2-33-10-56 e nao 00:15:F2:33:10:56.

[muriloc4]

O calling-station-id tem que ser preenchido da seguinte forma:
00-15-F2-33-10-56 e nao 00:15:F2:33:10:56.

grande amaia amigo..voutestar aki...engraçado no freeradius 1.1.7 do ubuntu funciona..mais te tarde te falo..

é amigo to sem sorte...olha so... o log (no mikrotik da Radius server is not responding)
tentei sem o "-" com ":" e com "-" e nada

vou na tabela "radcheck" e coloco assim:

Username Attribute OP Value
murilo User-Password == 1234
murilo Calling-Station-Id == 00:03:0D:67:16:28

mas não da..olha o log abaixo do freeradius


Wed Aug 26 13:43:32 2009 : Info: rlm_sql (sql): Attempting to connect to root@localhost:/radius
Wed Aug 26 13:43:32 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #0
Wed Aug 26 13:43:32 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #1
Wed Aug 26 13:43:32 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #2
Wed Aug 26 13:43:32 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #3
Wed Aug 26 13:43:32 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #4
Wed Aug 26 13:43:32 2009 : Info: Ready to process requests.
Wed Aug 26 16:23:23 2009 : Error: rlm_sql: Failed to create the pair: Invalid octet string "00-03-0D-67-16-28" for attribute name "Calling-Station-Id "
Wed Aug 26 16:23:23 2009 : Error: rlm_sql (sql): Error getting data from database
Wed Aug 26 16:23:23 2009 : Error: [sql] SQL query error; rejecting user
Wed Aug 26 16:24:20 2009 : Error: rlm_sql: Failed to create the pair: Invalid octet string "00:03:0D:67:16:28" for attribute name "Calling-Station-Id "
Wed Aug 26 16:24:20 2009 : Error: rlm_sql (sql): Error getting data from database
Wed Aug 26 16:24:20 2009 : Error: [sql] SQL query error; rejecting user
Wed Aug 26 16:25:18 2009 : Error: rlm_sql: Failed to create the pair: Invalid octet string "00030D671628" for attribute name "Calling-Station-Id "
Wed Aug 26 16:25:18 2009 : Error: rlm_sql (sql): Error getting data from database
Wed Aug 26 16:25:18 2009 : Error: [sql] SQL query error; rejecting user

[amaia]

Verifique os dicionarios do freeradius. Eh como se estivesse faltando a informacao sobre a definicao de Calling-Station-Id

[muriloc4]

Verifique os dicionarios do freeradius. Eh como se estivesse faltando a informacao sobre a definicao de Calling-Station-Id

primeiramente obrigao por se dedicar e resolver esse problema...mas o erro aqui foi meu..ja explico..
"Calling-Station-Id" e "Calling-Station-Id "

o espaço q deixei na frete do id...o freradius reconhecia como caractere..e dava esse erro...no meu front-end em php q to fazendo ja enviava com o espaço no final...graças a deus e todos aqui
que pedirar pra eu revisar eu tive mais ateñção e resolvi..
so na hora de colocar um "mikrotik-advertise-interval" não funcionou com "00:30:00" e sim com 003000...estrano não ??

[Marzio]

Aew pessoal estava seguindo este tutorial; Setting Up A FreeRadius Based AAA Server With MySQL & Management With Daloradius | HowtoForge - Linux Howtos and Tutorials

E tudo certo só que depois no STEP2 eu notei que o freeradius não sobe o serviço e não tem nada no log. Algume poderia dar um luz sobre este problema?

Grato,

[amaia]

Tem uma coisa interessante neste tutorial, ele serve somente para incluir o suporte a eap/tls/ttls/peap ao pacote, pois existe uma problema com o licenciamento do openssl. Se vc nao for usar o eap, vc pode usar os pacotes do freeradius que jah vem no repositorio do ubuntu. O proprio autor do tutorial cita no fim do mesmo que nao usou a configuracao do eap/ttls, que para isto vc deve ver o link no tutorial do howtoforge.

[Marzio]

Eu deveria ter com atenção, agora então basta apenas colocar without no lugar onde coloquei with que deve funcionar...Bom em todo caso tenho interesse em rodar o EAP, mas não chega a ser priori no momento.

Grato, posto o resultado amanhã quando eu voltar ao trabalho!

[Marzio]

Bom dia pessoal, seguinte...deu certo remover o lance do EAP (mas ainda vou conseguir com ele, rs)....Bom agora o problema é no DaloRadius a mensagem no browser é o seguinte;


Warning: include_once(DB.php) [function.include-once]: failed to open stream: No such file or directory in /var/www/daloradius/library/opendb.php on line 29

Warning: include_once() [function.include]: Failed opening 'DB.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/daloradius/library/opendb.php on line 29

Fatal error: Class 'DB' not found in /var/www/daloradius/library/opendb.php on line 32



Alguem ai tem uma luz sobre isso? pq os procedimentos estão sendo seguidos a risca!

[]´s

[Marzio]

Agora consegui logar no DALO, só que quando vou ver Server Status por exemplo ele me desloga! Alguma idéia ou dica?

Grato!

[Eduardo Gui]

Estou começando com as configurações Básicas para depois migrar para SQL. Não sei se vai ajudar vc mas segue os passos:
O laboratirio que montei foi para realizar autenticação 802.1X de estações conectadas em um switch catalyst 2950 em um servidor Radius. Posteriormente a idéia e configurar o servidor Radius para solicitar certificado do AD.

Linux Ubunto Server 2.04
FreeRadius 2.1.7

O UBUNTO Server foi instalado com os pacotes:
open ssh
Toncat
selecionar instalação manual e escolher :
g++, que automaticamente seleciona o gcc e demais
e o MAKE.

Instalando o freeradius
wget ftp://ftp.freeradius.org/pub/freradi...r-2.1.7.tar.gz
descompactar usando
tar -zxvf freeradius-server-2.1.7.tar.gz
cd freeradius-server-2.1.7
./configure
make
make install
cd /etc
vi ld.so.conf
acrescentar a linha
include /usr/local/lib
salvar o arquivo (aperte a tecla esc :wq!)
execute:
./ldconfig

Caro amigo Michel

Fiz o que mandou coloquei as portas 1919 no lugar de 1812 e (type=auth)e 1920 no lugar de 1813 (type=acct)...da o mesmo erro quando do um "freeradius -X , apos reiniciar o freeradius:

radiusd: #### Opening IP addresses and Ports ####
listen {
type = "auth"
ipaddr = 202.210.205.153
port = 1919
Failed binding to socket: Address already in use
/etc/freeradius/radiusd.conf[235]: Error binding to port for 202.210.205.153 port 1919

tem fui em user e group e descomentei... tava freerad.. coloquei até root e root..
mas da a mesma coisa....
to usando ubuntu 9.04 desktop..
freeradius dos repositorios
sei que é chato...mas me ajuda....

[inacioalves]

Caros amigos,

Sou novo aqui no fórum e infelizmente já entro com problemas.
Estou tentando implementar o freeradius em minha rede wireless e não estou conseguindo.

Minha configuração:
Debian lenny
Mysql 5.0
freeradius 2.1.7

Meus arquivos do freeradius
radiusd.conf
Bash pastebin - collaborative debugging tool
sql.conf
pastebin - collaborative debugging tool
sites-avaible/default
pastebin - collaborative debugging tool
clients.conf
pastebin - collaborative debugging tool

O radtest me retorna a mensagem

Código :

# radtest inacio ****** localhost 0 ******
Sending Access-Request of id 40 to 127.0.0.1 port 1812
    User-Name = "inacio"
    User-Password = "******"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=40, length=56
    Framed-IP-Address = 192.168.2.2
    Framed-IP-Netmask = 255.255.255.255
    Framed-Compression = Van-Jacobson-TCP-IP
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Framed-MTU = 1500

Mas pelo notebook recebo a mensagem

Código :

rad_recv: Access-Request packet from host 192.168.2.1 port 2048, id=123, length=169
    User-Name = "inacio"
    NAS-IP-Address = 192.168.2.1
    NAS-Port = 0
    Called-Station-Id = "00120e4871cc"
    Calling-Station-Id = "0022430cdba8"
    NAS-Identifier = "Realtek Access Point. 8181"
    Framed-MTU = 1400
    NAS-Port-Type = Wireless-802.11
    Service-Type = Framed-User
    Connect-Info = "CONNECT 11Mbps 802.11b"
    EAP-Message = 0x0200000b01696e6163696f
    Message-Authenticator = 0xc2a1440b9b8f60403b2ac157190f423f
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "inacio", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 0 length 11
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
[sql]     expand: %{User-Name} -> inacio
[sql] sql_set_user escaped user --> 'inacio'
rlm_sql (sql): Reserving sql socket id: 4
[sql]     expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'inacio'           ORDER BY id
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.
[sql] User found in radcheck table
[sql]     expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'inacio'           ORDER BY id
[sql]     expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'inacio'           ORDER BY priority
[sql]     expand: SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = 'discado'           ORDER BY id
[sql] User found in group discado
[sql]     expand: SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = 'discado'           ORDER BY id
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!    Replacing User-Password in config items with Cleartext-Password.     !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good"               !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] Attribute "Password" is required for authentication.
++[pap] returns invalid
Failed to authenticate the user.
Login incorrect: [inacio] (from client private-wlan-alves port 0 cli 0022430cdba8)
Using Post-Auth-Type Reject
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> inacio
 attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 123 to 192.168.2.1 port 2048
Waking up in 4.9 seconds.

Ele acusa que eu preciso informar o password. Mas eu estou digitando.

Alguém poderia me dar uma luz. Pois pretendo publicar um material bem completo aqui sobre o assunto, tendo em vista a falta de material adequado na internet.

Já procuro há quase três semanas no google e sempre encontro o mesmo texto em todas as páginas que entro. Os caras não se dão nem o trabalho de citar os verdadeiros autores, mesmo que as configurações citadas sejam para a versão 1.0.0 do freeradius usando debian 2.0 com mysql 3.1.

Precisamos construir um material mais útil para deixar disponível a todos do fórum.

Desde já agradeço aqueles que se dispuserem a me ajudar.

[amaia]

Estas duas mensagens:

1)
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.

2)
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Indicam que o campo de autenticacao deve ser Cleartext-Password e nao User-Password

Uma pequena observacao, geralmente Cleartext-Password eh usado para autenticar usando CHAP e User-Password eh para PAP.

[inacioalves]

Caro amaia,

Agradeço sua colaboração,

Eu já havia mudado para Cleartext-Password mas a mensagem continua dizendo que meu password não chegou ao servidor.

Estou limpando os arquivos de configuração para tentar novamente. Em breve postarei os resultados aqui para que outros possam analisar e ajudar a melhorar o arquivo bem como deixá-lo decentemente comentado.

[amaia]

Vamos por partes, como diria Jack, o estripador.

1) na tabela "nas"do banco de dados do radius, tem que ter a informacao do dispositivo de origem de onde vem a conexao, nest caso: NAS-IP-Address = 192.168.2.1, nao esquecendo de informar o secret dentro da tabela nas.

2) Esta versao do freeradius que vc estah, existe a opcao de multiplos dominios, a mensagem abaixo informa que falta uma definicao de dominio, e que o dominio NULL nao existe na tabela nas. Interessante notar que a definicao do login dentro da tabela radcheck, deve ser algo: inacio@meudominio
[suffix] No '@' in User-Name = "inacio", looking up realm NULL
[suffix] No such realm "NULL"


3) Por fim, verifique se na instalacao do freeradius a autenticacao por CHAP tambem esta ativa, alem da PAP.

[inacioalves]

Mais uma vez agradeço sua atenção amaia, mas seguem agora meus resultados parciais.

"Zerei" os arquivos de configuração e comecei tudo de novo.

1. No esquema do banco não existe uma tabela "nas". O próprio freeradius parece estar decidindo de onde vem o pedido, isto é, ele está decidindo quem é o NAS.

2. Não encontrei ainda esta questão do domínio. Mas sei que ela não influencia, pois ao refazer as configurações descomentei dentro do arquivo user o seguinte

Código :

steve   Cleartext-Password := "testing"
        Reply-Message = "Hello, %{User-Name}",
        Service-Type = Framed-User,
        Framed-Protocol = PPP,
        Framed-IP-Address = 172.16.3.33,
        Framed-IP-Netmask = 255.255.255.252,
        Framed-Routing = Broadcast-Listen,
        Framed-Filter-Id = "std.ppp",
        Framed-MTU = 1500,
        Framed-Compression = Van-Jacobsen-TCP-IP

Sendo que a linha

Código :

 Reply-Message = "Hello, %{User-Name}",

fui eu quem adicionou, pois não tinha no arquivo original. Depois disto eu consegui ver que o servidor está aceitando as conexões vindas do notebook. Porém a saída é muito confusa, por isso não vou postá-la aqui agora.


3. Por padrão, vem habilitado pap, chap, mschap, unix e eap para a autenticação. Podendo-se ainda, habilitar ldap, digest e pam.

Alguns problemas encontrados até aqui.
1. Não sei se estou errado, mas acho que o ip definido em Framed-IP-Address deveria ter sido atribuído a minha interface. Porém o IP que recebi foi o fornecido pelo AP na faixa DHCP dele. Desativei o DHCP do AP e como "era de se esperar" não recebi IP algum.
1.1. Digo: 'era de se esperar' pois não instalei o servidor DHCP na minha máquina.
1.2. Escrevi entre aspas pois, como já citei, eu pensei que o IP acima seria atribuido a minha máquina.

2. Deixei de usar o mysql para tester as configurações com os arquivos do freeradius. Voltarei a usar um banco posteriormente quando estiver mais familiarizado com as configurações e o dicionário do freeradius.

3. A configuração da versão atual parece ser bem mais complexa que a descrita nos tutoriais disponíveis na net. Parece que houve uma mudança significativa a partir da versão 2.0 como a criação de servidores virtuais (sites-available e sites-enabled) e a separação de alguns arquivos de configuração que foram retirados do radiusd.conf

4. A saída do debug me parece um tanto poluída, talvez porque ainda não tenho muita familiaridade com o freeradius.

5. "Todos" os materiais que encontrei até agora parecem ser exatamente o mesmo.

6. Não encontrei material algum ensinando a fazer o freeradius funcionar com um AP e demonstrando a configurar os clientes(Window$ e Linux) que é o objetivo principal de se ter o freeradius rodando. Se for apenas para configurar os arquivos e testar com o radtest, basta compilar que ele já estará funcionando. Se for no Debian, basta um apt-get install (ou aptitude install) que o radtest funcionará. Embora, em ambos os casos, o resultado possa ser

Código :

rad_recv: Access-Reject packet from host 127.0.0.1 port 1812

.

Visão de futuro
1. Estou vendo que existem inúmeras possibilidades para configuração do freeradius.
2. Ao que parece, são poucas as pessoas que o dominam, pois está difícil encontrar material útil e que não seja uma cópia.
(Encontrei o mesmo texto em diversos lugares sem tirar nem por vírgula alguma. Até os erros de português são os mesmos)


Por enquanto vou ficando por aqui.

Agradeço mais uma vez a colaboração e espero que em breve tenhamos um tutorial primeira para ensinar a configurar o freeradius.

[amaia]

Revendo o seu log tem uma linha interessante:

[pap] Attribute "Password" is required for authentication.

Pode ser que o atributo que seu radius esteja esperando fosse "Password", nao Cleartext-Password ou User-Password.

Mas rapaz, a unica coisa que posso lhe dizer, eh que o caminho do freeradius eh muito longo, existe muita coisa ai fora. Agora vc realmente estah certo numa coisa:

2. Ao que parece, são poucas as pessoas que o dominam, pois está difícil encontrar material útil e que não seja uma cópia.
(Encontrei o mesmo texto em diversos lugares sem tirar nem por vírgula alguma. Até os erros de português são os mesmos)

Geralmente os bons tutoriais do freeradius estao em ingles, e algumas configuracoes escondidas perdidas em alguns foruns em ingles tambem, principalmente nos foruns que tratam de hotspot.

Algumas dicas para colocar para funcionar:
https://help.ubuntu.com/community/WifiDocs/CoovaChilli
http://www.howtoforge.com/wifi-authe...ius-on-centos5
http://www.howtoforge.com/setting-up...ith-daloradius

Dentro dos links do howtoforge, vai ter mais links de referencia para o freeradius

Mas o tutorial do Ubuntu nao vai funcionar pois o freeradius que vem no Ubuntu nao possui CHAP, por questao de licenciamento, entao vc tem que se virar para achar como implementar CHAP no ubuntu.

A respeito desta afirmacao:

2. Ao que parece, são poucas as pessoas que o dominam, pois está difícil encontrar material útil e que não seja uma cópia.

Tambem, concordo, nao eh todo mundo que quer gastar o seu tempo com quem nao presta atencao nas entre-linhas, nem se da ao trabalho de leh as informacoes do debug.

[inacioalves]

Quanto a linha

Código :

[pap] Attribute "Password" is required for authentication.

já consegui encontrar o erro.

Código :

#client 192.168.0.0/24 {
#       secret          = testing123-1
#       shortname       = private-network-1
#}

Este é o trecho do arquivo clients.conf que eu alterei deixando-o como

Código :

client 192.168.2.0/24 {
       secret          = testing123-1
       shortname       = private-network-1
}

O erro encontrava-se exatamente no secret que vem como testing123-1 diferente da seção que tem logo acima para definir o localhost onde o secret é testing123. Assim, por um grande descuido coloquei no AP a senha do servidor RADIUS como sendo testing123, quando deveria ter colocado testing123-1.

O fato é que para cada seção client no arquivo clients.conf podemos setar um secret diferente. Daí, quando o servidor recebia o Password testing123 ele rejeitava fazendo com que parecece não ter recebido o password do usuário quando na verdade o problema ocorria bem antes. O AP não estava autorizado a se comunicar com o servidor por causa do Password incorreto.