我正在为我们的无线客户端开发Freeradius支持的802.1Xauthentication基础结构。 我在EAP-PEAP上使用了一个相当通用的Freeradiusconfiguration。 我们的客户主要是Windows XP SP3机器,但也有一些Windows 7 32和64位笔记本电脑。 我们的域位于Windows Server 2003的function级别。 802.1xauthentication与手动configuration的testing客户端一起工作。 我想创build一个GPO,通过以下方式自动configuration客户端:1)将自签名CA证书作为受信任根证书部署,2)将ESSID设置为具有相应802.1xconfiguration的首选networking。 我没有很难部署使用GPO的客户的自签名CA证书。 但是,我无法弄清楚如何在GPO中configuration证书作为受信任的根证书。 这是从Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices下的GPO设置Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices : 受信任的根证书颁发机构下的select中没有我自签名的CA证书。 由于“validation服务器证书”设置,在802.1x PEAP设置中尝试validation客户端,而我的自签名证书不被信任。 当然,如果我手动configuration客户端来信任我的证书,则可以正确validationradius服务器的证书,然后802.1x工作。 我的目标是能够将一台机器分配到OU,在这个GPO将被应用,并且所有得到的802.1X和CA设置将被做,而不必我必须接触客户端机器。 如何为802.1x PEAP设置生成一个GPO,以便设置客户端信任我的自签名CA证书? 编辑: 由于成本问题,Microsoft NPS或NAP服务器在这一点上对于我的组织来说不是真正的select。 描述我们的环境的最佳方式是集中的位置,运行我们的核心服务,并通过速度和可靠性不同的WAN链路连接了二十多个远程站点。 我们对这些远程站点实施积极的物理或策略控制方面具有不同的能力和成功,因此它们是我无线和最终有线802.1xauthentication的主要关注点。 如果我们丢失广域网链路(这种情况不常发生),我仍然需要远程站点的客户端才能访问networking,因此在这些位置的大部分情况下都需要RADIUS服务器。 另一个窗口服务器的请求将被拒绝。 从历史上看,我们所有的Linux服务器和networking设备都与我们的域基础设施保持独立。 […]
我正在运行WPA2企业进行无线访问,并按照/etc/raddb/certs/README和freeRadius站点howto中的说明进行操作 。 我还阅读privacywonk网站上的说明。 问题是,FreeRadius说明和网站似乎build议所有请求者只使用一个(自签名)证书,而privacywonk网站则build议为每个请求者使用单独的证书。 一个与另一个有优势吗? 我能想到的一个好处是能够撤销一个特定的用户帐户(当你有多个证书,每个请求者一个证书时,你可以这样做)。 其他人? 另外,如何将特别创build的证书绑定到users文件中的特定用户?
这是我想要实现的,我们想要使用Microsoft SQL后端安装freeradius。 我在网上阅读,我们需要使用unixodbc驱动程序来实现这个目标。 我能够从apt-get设置unixodbc驱动程序,如果我configurationFreetds使用它。 安装和configuration后我可以运行testing命令: isql -v DVSQLServer USERNAME PASSWORD +—————————————+ | Connected! | | | | sql-statement | | help [tablename] | | quit | | | +—————————————+ 这实际上是工作。 但是我发现下载的freeradius tarbal不能使用rlm_sql_unixodbc驱动程序,因为在debian / rules文件中他们使用标志来编译它: –without-rlm_sql_unixodbc 我认为这将是很容易从debian /规则中删除标志,只需使用命令行构build我自己的包: fakeroot dpkg-buildpackage -b -uc 但是,这是失败的错误: checking for SQLConnect in -lodbc… no checking for sql.h… yes configure: error: set […]
我有一个Cisco路由器,提供一个SSL VPN服务器,与freeradius通信,freeradius又使用pam和两个pam模块(sss&yubico)为VPN提供双因素身份validation。 一切都是在世界上很好,它的工作, 除了这个工作,我需要连接用户的密码和yubikey令牌一起成为一个响应。 我的用户更喜欢两个阶段的密码和挑战反应(主要是因为“太混乱”)。 可以这样做吗? 目前我有一个radiusauthenticationconfiguration部分,指定使用pam radius模块作为后端。 我对radius 很陌生,但是我认为我可以在两个单独的“阶段”中两次使用pam模块,并且每次给出不同的pam_auth,以便使用两个不同的pamconfiguration文件,每个configuration文件都备份到一个pam模块IPA上的一个,yubikey上)? 我会依靠两次pam,因为freeradius既不支持yubikey也不支持sss(我知道它支持ldap,但是我希望获得DNS SRVlogging故障转移等)。 我不确定这是否有可能,而且我还没有find有logging的地方的运气。 freeradius显然有很多configuration文件,但如果有任何关键的知道我可以发布。
我编辑了我的/etc/pam.d/sshd Radiusauthentication; 我添加了这一行: auth required pam_radius_auth.so 另外,我已经注明了这一行: @include common-auth 现在,如果Radius服务器处于UP状态,那么使用Radius的SSH身份validation是正常的,但如果radius服务器处于closures状态,则不会使用本地linux帐户进行回退。 任何build议在哪里编辑文件,让我回退到我的本地Linux帐户时,我的Radius服务器失败?
我按照这个指令强制freeradius使用mysql数据库。 并在debugging模式下运行freeradius。 但是拒绝所有authentication。 mysql数据库: mysql> select * from radcheck; + —- + ———- + ———– + —- + ——— + | id | 用户名| 属性| op | 值| + —- + ———- + ———– + —- + ——— + | 1 | testing| 密码| == | test123 | | 2 | testing| Auth-Type | == […]
使用FreeRADIUS我需要对Web后端进行身份validation,并尝试使用rlm_rest模块进行身份validation。 看到这里 。 在我的网站configuration我有这样的事情: authorize { rest } 并在身份validation部分我尝试过这样的事情: authenticate { Auth-Type REST { rest } } 要么 authenticate { rest } 无论哪种情况,我都会收到以下错误: (2) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject 在我的Web服务器上,我返回了204 code因为它似乎应该validation用户而不需要额外的进程。 看到这里 。 授权似乎工作正常,但是一旦达到validation部分,则返回错误。 我需要知道的是“用户”文件条目和站点可用条目的组合,我需要允许rlm_rest模块完成请求的validation部分。 谢谢,
所以情况就是这样。 我希望能够使用我的LDAP凭据login到此交换机。 由于交换机本身不支持LDAP,所以我认为FreeRADIUS有一个LDAP模块,我可以使用FreeRADIUS作为一种“桥梁”。 以下是radiusd的输出: rad_recv: Access-Request packet from host 10.10.10.249 port 49155, id=0, length=76 User-Name = "rdraga" User-Password = "XXXXXXXXXXXX" Cisco-AVPair = "shell:priv-lvl=1" NAS-IP-Address = 10.10.10.249 +- entering group authorize {…} ++[suffix] No '@' in User-Name = "rdraga", looking up realm NULL [suffix] No such realm "NULL" ++[suffix] returns noop [eap] No EAP-Message, not doing […]
我在Windows 7(内置802.1x请求者)上使用TLS机器身份validation(必需的证书(在Linux上生成FreeRadius v2.2.3))进行有线802.1x部署。 Cisco C2960 POE交换机正在使用中。 在Windows 7上: 根CA存在于本地计算机 – >受信任的根证书存储区中 客户端证书存在于本地计算机 – >个人存储中。 这两个证书都是有效的,802.1x工作正常。 但是,如果在本地计算机中有另一个有效的证书 – >个人存储的名称以高于Radius客户证书的字母开始(D高于字母表中的L),则该证书(包含更高的字母)将会得到发送到Radius服务器,并不会正确authentication。 其中一些其他有效的证书是必需的,所以我不确定是否有这个问题的解决方法,或者如果这是通过devise发生的(或者如果Windows 7只是使用证书存储区中“顶部的”证书)。 我已经尝试了Microsoft修补程序KB2769121(在具有多个证书的基于Windows 7或Windows 2008 R2的计算机上,802.1X身份validation失败),但无法正常工作。 有其他人有这个问题吗? 任何帮助将不胜感激。
我将Cisco ASA设置为客户端VPN服务器。 该设备依靠freeradius来validation用户。 Freeradius又被configuration为查询OpenLDAP。 modules / ldap文件已被configuration为使用以下filter(每个组下列出的成员使用属性memberUid)检查组的所有权: groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))" 文件freeradius / users有这样的说法: DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject 我想使用多个成员资格检查,例如,只允许属于一组组的用户。 显然,如果多于一个组被指定,freeradius就会失败。 我正在寻找一种方法来列出多个组。 用于freeradius和openldap的操作系统是Ubuntu 10.04。