我有一个FreeRadius服务器,我想设置连接到特定NAS的用户数量的限制。 我目前的设置是每个连接到某个NAS的用户都被添加到连接到该NAS的Radius用户组。 然后,RadGroupReply完成了我想为特定NAS的用户所做的事情。 目前,我可以设置最大的下载速度限制以及会话超时,但是我想知道如果我限制允许连接到特定NAS的最大用户数量是什么属性。 谢谢。
我刚开始使用FreeRadius。 我已经安装了FreeRadius 2.2.9,但是当我尝试使用radiusd -X进行debugging时, radiusd -X了这个错误 拒绝从libssl版本OpenSSL 1.0.1e-fips 2013年2月11日开始(范围在1.0.1 – 1.0.1f)。 安全公告CVE-2014-0160(Heartbleed) 欲了解更多信息,请访问http://heartbleed.com 但是当我运行openssl version我得到的结果是 OpenSSL 1.0.2h 2016年5月3日 我不知道为什么会发生这种情况。 谁能帮忙? 我正在使用CentOS release 6.8 (Final) 。 谢谢。
我想要使用REDIS的FreeRADIUS进行授权和会计。 我正在运行FreeRADIUS 3.0.3。 我注意到rlm_rediswho模块,它似乎用于caching最近用户的记帐logging。 我还注意到一个rlm_redisn模块,它似乎是当前rlm_redis模块的前端承载者。 redis模块configuration文件没有提供关于如何configuration授权查询等的指导,但rlm_redisn模块在它的示例文件中确实有这个语法(参见http://free.oxymium.net/freeradius/rlm_redisn/redisn.example ) 如果我尝试将redis模块添加到站点启用/默认的授权部分,我得到以下错误: Thu Sep 4 02:06:08 2014 : Error: /etc/freeradius/sites-enabled/default[332]: "redis" modules aren't allowed in 'authorize' sections — they have no such method. Thu Sep 4 02:06:08 2014 : Error: /etc/freeradius/sites-enabled/default[220]: Errors parsing authorize section.
我有一台运行FreeRADIUS 3的FreeBSD 10.0服务器,事情没有任何明显的原因。 我使用Samba4的Winbind来validationntlm_auth 。 我已经做了一些debugging来解决问题,但是我无法find问题所在。 ntlm_auth正在工作: ntlm_auth –username=ferrao –request-nt-key Password: NT_STATUS_OK: Success (0x0) 但是,在进行EAP-PEAPauthentication时,RADIUS失败,并且在debugging模式下运行FreeRADIUS,这是错误消息: (9) mschap : Executing: /usr/local/bin/ntlm_auth –request-nt-key –username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} –challenge=%{%{mschap:Challenge}:-00} –nt-response=%{%{mschap:NT-Response}:-00} (9) mschap : EXPAND –username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} (9) mschap : –> –username=ferrao (9) mschap : Creating challenge hash with username: ferrao (9) mschap : EXPAND –challenge=%{%{mschap:Challenge}:-00} (9) mschap : –> –challenge=082e8ba7b848aaae (9) mschap […]
我正在testing以下设置: RADIUS服务器使用EAP-TLS协议。 客户端和服务器有以下证书: 客户 公钥: clientcert_intermediatecert_chain.pem CA证书: rootcert.pem 服务器 公钥: servercert_intermediatecert_chain.pem CA证书: rootcert.pem 客户端证书( clientcert.pem )和服务器证书( clientcert.pem )都由相同的中间证书( intermediatecert.pem )签名,中间证书由根证书( rootcert.pem )签名。 这两个被设置为公钥的链都像这样放在一起(通过Shell命令): cat servercert.pem intermediatecert.pem > servercert_intermediatecert_chain.pem cat clientcert.pem intermediatecert.pem > clientcert_intermediatecert_chain.pem 现在,客户端尝试连接到服务器。 双方发送他们的公钥,并尝试使用rootcert.pemvalidation接收到的公钥 我知道“正常”的方式是,公钥只是服务器或客户端证书。 而CA证书将成为imcert-rootcert-chain,但我必须知道这是否也能起作用。 现在我的问题: 公钥是由服务器/客户端证书和中间证书组成的链是否合法? 如果是这样,这是否适用于双方(服务器和客户端)? 如果服务器(如FreeRADIUS)或客户端能够使用根证书validation这些链接,如果他们从柜台部分接收到这些链接? 根据我的经验,FreeRADIUS不validation这样的证书链权利。 如果我没有弄错FreeRADIUS使用OpenSSL库,并在上面的情况下执行以下命令: openssl verify -CAfile rootcert.pem clientcert_intermediatecert_chain.pem 我很确定这是行不通的。 OpenSSL无法使用根证书来validation这样的链。 尝试将信任链放在一起时失败了。 它是否正确? 顺便说一下,FreeRADIUS返回的错误与verify命令相同: error 20 […]
我使用一些Meraki接入点运行RADIUS服务器,Authentications的过程是好的…但似乎Meraki云控制器只是发送validation数据包而不是记帐请求。 我用radclient工具(本地)testing了RADIUS发送记帐请求,它工作。 我认为也许我的RADIUS服务器忽略了来自MCC的记帐请求,因为有一些供应商特定属性是我的RADIUS不知道的。 我应该添加一个Meraki的字典到我的RADIUSconfiguration? 我有点绝望,有什么想法?
我想知道有没有人可以帮助我。 目标是根据他们连接的AP为不同的用户分配不同的IP地址。 我不能静态设置,因为用户将旅行,并通过不同的ap结束连接。 所以我想做一个检查,看看我是否可以匹配nas ip,然后将该用户分配给一个组,然后该组将分配正确的IP池。 我已经做了相当多的研究,它似乎像将其添加到radgroupcheck表一样简单。 像这样: id | groupname | attribute | value | op —-+———–+—————-+————+—- 1 | Group1 | Nas-IP-Address | xxxx | == 4 | Group1 | Pool-Name | POOL1 | := 然而在半径-X我甚至没有看到它试图检查组。 它似乎检查radusergroup表,但没有任何内容,因为我需要根据位置dynamic设置用户组。 任何帮助,将不胜感激。 谢谢 抢
我刚刚安装了freeradius,并使用/etc/init.d/启动脚本启动它。 运行netstat -nat后,我没有看到任何进程正在监听端口1812和1813.我使用Ubuntu 10.04 LTS和默认freeradiusconfiguration。 我试图手动编辑conf文件,并设置监听IP地址和端口,但没有任何改变。 我已经安装了openbsd-inetd,但已closures。 哪里可能是问题?
我们公司有以下安装程序 Synology RS812 +主机LDAP,RADIUS,DNS(版本DSM 5.0-4458更新2) 2 * Cisco Wifi接入点WAP561(固件1.0.3.4) 思科路由器ISA500(固件1.2.19) 我们想要的基本上是通过RADIUS对基于LDAP的WiFi进行身份validation和授权 我们在GlobalSign发行的Synology上安装了一个证书,用于根域example.com和nas.example.com(我们之前使用了我们的通配证书,Synology显示为自签名,可能没有使用扩展名,所以我买了另一个) 我configuration了AP(WPA2)连接到RADIUS(基于IP)和RADIUS以访问LDAP(同一台机器)。 基本上所有的工作,除了我们的Win7(和一些Vista)客户端有问题做与RADIUS的TLS握手 不幸的是输出不是很好,因为它只显示 Auth 2014-04-15 10:01:49 Login incorrect (TLS Alert read:fatal:access denied): [[email protected]/<via Auth-Type = EAP>] (from client CiscoHardware port 0 cli 00-26-82-ED-61-92) Error 2014-04-15 10:01:49 TLS Alert read:fatal:access denied 我的猜测:请求者(Win7机器)不接受证书,导致authentication无法正常工作。 如果我取消选中“检查服务器证书”选项一切正常。 这个问题肯定是authentication中使用的证书,因为对Microsoft的证书有很强的要求: http://support.microsoft.com/kb/814394/en-us 我已经检查了1.3.6.1.5.5.7.3.1的对象标识符。 并出现在证书中 还有两点我可能不完全明白: 服务器证书的“主题”行中的名称与客户端上为连接configuration的名称相匹配。 对于无线客户端,主题备用名称(SubjectAltName)扩展名包含服务器的完全限定的域名(FQDN)。 在半径上有一个中间证书,根证书(GloalSign)被操作系统信任。 关于域名:由于客户端连接到SSID并且AP通过IP指向RADIUS服务器,客户端如何检查? 我怎样才能进一步debugging呢? 我正在使用Win7机器,但是如果需要,可以使用linux
我使用Ubuntu 10.04.4上的FreeRADIUS 2.1.8进行WPA2 802.11x EAP身份validation设置,并使用PEAP / MSCHAPv2,TTLS / MSCHAPv2和TTLS / PAP(均通过AP和eapol_test )进行身份validation 。 我现在试图根据用户所属的LDAP组来限制对特定SSID的访问。 我在/etc/freeradius/modules/ldapconfiguration了组成员身份检查,如下所示: groupname_attribute = cn groupmembership_filter = "(|(&(objectClass=posixGroup)(memberUid=%{User-Name}))(&(objectClass=posixGroup)(uniquemember=%{User-Name})))" 并且我已经根据Mac Auth wiki页面将从被叫台ID中提取的SSIDconfiguration为被叫台SSID。 在/etc/freeradius/eap.conf我已经启用了将外层隧道的属性复制到内层隧道中,以及在外层隧道(对于PEAP和TTLS)中使用内层隧道响应。 然而,在更改这些选项之前,我有相同的行为。 copy_request_to_tunnel = yes use_tunneled_reply = yes 我正在运行eapol_test来testing设置: eapol_test -c peap-mschapv2.conf -a 172.16.0.16 -s testing123 -N 30:s:01-23-45-67-89-01:Example-EAP 使用以下peap-mschapv2.conf文件: network={ ssid="Example-EAP" key_mgmt=WPA-EAP eap=PEAP identity="mgorven" anonymous_identity="anonymous" password="foobar" phase2="autheap=MSCHAPV2" } 在/etc/freeradius/users : DEFAULT […]