我想在我的debian 9机器上安装freeradius服务器。 我成功地用apt来安装它。 我也成功地运行它,并接受用户名和密码,并拒绝连接,如果你没有一个好的用户名和密码。 但是我需要执行certificatvalidation。 我跟着官方文档https://wiki.freeradius.org/guide/WPA%20HOWTO cd /etc/freeradius/3.0/certs/ make 它生成了一些证书,我改变了/etc/freeradius/3.0/mods-enabled/eap tls-config tls-common { private_key_password = whatever private_key_file = /etc/freeradius/3.0/certs/server.key # If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. # # If ca_file (below) is not used, then the # […]
我有一个Ubuntu 16.04.3服务器,我们使用Radiusauthentication服务器为我们的VPN服务器提供Google Authenticator 2FA。 这一切工作正常,直到我怀疑昨天更新。 现在,每当我尝试login时,login失败。 在/var/log/auth.log我看到GA部分是好的,这是freeradius部分,似乎是失败的: root@radius:~# radtest [email protected] Password989240 localhost 18120 testing123 Sending Access-Request of id 203 to 127.0.0.1 port 1812 User-Name = "[email protected]" User-Password = "Password989240" NAS-IP-Address = 127.0.1.1 NAS-Port = 18120 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=203, length=20 然后日志包含: Sep 8 10:46:06 radius radiusd(pam_google_authenticator)[2473]: Accepted […]
我尝试构build一个由FreeRadius rlm_python使用的python脚本。 我的pptp服务器是基于https://lintut.com/setup-pptp-to-authenticate-off-freeradius-on-centos-6-and-ubuntu-11-10/安装的 目前它的工作很好…在非常基本的模式。 但接下来我的脚本将需要FreeRadius的NAS标识符,NAS-IP-Address和Called-Station-Id,因为我想select谁可以通过哪个pptpd服务器 不幸的是,看起来像我的PPTD没有公开所有需要的半径属性freeradius。 我在脚本中做了一个json转储的接收属性,得到: {"NAS-IP-Address": "127.0.1.1", "Service-Type": "Framed-User", "MS-CHAP-Challenge": "0x4f693024e16280d2e5e64b981c89ea79", "Framed-Protocol": "PPP", "User-Name": "thisisme", "Event-Timestamp": "Sep 13 2017 20:56:13 WIB", "MS-CHAP2-Response": "0x97001f80411a2a67a9275895b2995ec57e2a00000000000000007f09ec1cc5aed3515cdb47e4cee8432a11e6403006c29ba9", "Calling-Station-Id": "192.168.0.200", "NAS-Port": "0"} 问题是: NAS-IP-Address有错误的值。 在请求包中没有NAS标识符和被叫站ID。 请给我任何启发,做正确的事。 诚挚 -bino-
我必须做一个freeradius / 802.1xauthentication模型。 我的担心是这样的:我的开关问我的客户一个身份 顾客给他 交换机发送请求在我的服务器半径(这也是我的Ldap服务器) 半径在Ldap做了他的研究 半径说好的访问接受我的开关和我的日志开关说…用户上线成功 交换机连接我的用户3秒钟,并断开连接并要求身份。 我的模型如下: freeradius服务器+ openldap(debian8)= 192.168.0.60 一个HP 5120交换机:= 192.168.0.4 – 混合模式与Vlan生产“3”和Vlan来宾“10”,Vlan“3”被标记(如果需要,我可以把你的configuration文件) 一个windows xp客户端SP3,configuration为802.1x = 192.168.0.61 我有我的处置: 用我的客户端上的wireshark输出帧 input框架(Tshark)在我的服务器上 freeradius -X的日志 configuration文件(知道我必须从Aconfiguration自己到Z) 有没有人有过这种担忧? 告诉我你需要什么信息来帮助我。 我提前谢谢你。 LM 对不起,我的英语不好 :-)
我有一个用于WPAauthentication的FreeRADIUS(3.0.15)服务器(PEAP + MSCHAPv2),即使感觉在一个封闭的修道院里需要花费一生的时间才能掌握每一个configuration,所有的工作都是开箱即用的。 我有我的用户在users文件,我想保持这种方式(与sql或ldap),因为我喜欢用简单的文本编辑器编辑用户的便利。 我正在努力实现的是: 我有两个SSID( staff和guests ),我想分开我的用户在两个组,如果一个访客用户被拒绝,如果他们尝试在staff身份validationSSID。 我到目前为止: 在我的users文件中: DEFAULT MyGroup := 'guests', Fall-Through := Yes # Guest users guest1 Cleartext-Password := 'password1' # End of guest users DEFAULT MyGroup := 'staff', Fall-Through := Yes # Staff users staff1 Cleartext-Password := 'kdjsfhksf' # End of staff users 我的希望是,parsing文件后, reply:MyGroup属性有staff或guest取决于用户匹配的请求。 我的dictionary文件有这样的: ATTRIBUTE MyGroup 3000 string […]
我已经使用NTLM-Auth针对Samba 4.5.8 AD域控制器成功设置了Freeradius 3.0.12。 Radtest对每个用户都有正确的密码。 当我尝试对Freeradius服务器上的pfSense上的OpenVPN用户进行身份validation时,它努力为用户find正确的Auth-Type。 Freeradius -X产生以下结果: (8) Received Access-Request Id 186 from 10.100.0.254:25983 to 10.100.0.32:1812 length 115 (8) NAS-IP-Address = 192.168.1.25 (8) NAS-Identifier = "openVPN" (8) NAS-Port-Type = Virtual (8) NAS-Port = 1194 (8) Called-Station-Id = "192.168.1.25:1194" (8) User-Name = "[email protected]" (8) User-Password = "XXXXXX" (8) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default […]
我在CentOS7上使用strongswan 5.6.0&Freeradius 3.0.13作为vpn服务器 – Strongswan发送半径请求给freeradius – freeradius将所有请求代理到另一台不支持EAP挑战的Radius服务器 所有来自freeradius代理的非eap请求都被Radius Server(非eap)成功接受,但所有eap请求都失败! 我认为来自Strongswan的请求是eap-mschapv2(IKEv2 Connections) 如何将eap请求代理到非eap Radius服务器 技术上我不知道应该是什么,但我认为有3个想法: 1-Freeradius进程全部自动启动,只需询问非Eap Radius服务器上的纯文本用户/传递 2- Freeradius将eap-mschapv2转换为mschapv2(非eap),然后将其发送到非eap Radius服务器 3- Strongswan做转换或palin文本的工作 我读了很多的问题和教程,但不是他们的作品 请帮帮我 谢谢
我有两个不同的互联网IP上的两台路由器。 Router-A和Router-B都使用相同的FreeRadius3服务器对VPN进行身份validation,以使用mschaplogin恶意Active Directory。 mods-enabled/mschapconfiguration文件有这样的一行: ntlm_auth = … –require-membership-of=DOMAIN\VPN … 这个configuration很好,但是我希望能够从Router-A到活动目录组VPN-A和Router-B到组VPN-B的身份validation。 我如何在FreeRadius中实现这一点? 我找不到有关使用相同FreeRadius服务器的不同组的任何信息。
我已经设法设置pptp来使用Radius身份validation – 使得pipe理SQL数据库中的用户比默认密码文件更容易。 不过,理想情况下,我希望能够获得这些用户的状态,并断开/pipe理他们作为Radius允许 – 这是可能的吗? 如果是这样,你能否详细说明我的方向? 所有的帮助非常感谢! 编辑我个人使用Debian和标准aptitude包为pptp和FreeRADIUS。
是否有可能在freeradius检查属性有一个OR语句? 我有10个VPN服务器,从freeradiusauthentication。 大多数用户可以访问所有的服务器,但我有一个演示用户只能访问这些服务器中的2个。 我可以进行设置,以便演示只能通过将以下内容放置在radcheck表/用户文件中来访问服务器中的一个 NAS-IP-Address==xxx.xxx.xxx.1 但我需要在那里和OR语句像: NAS-IP-Address==xxx.xxx.xxx.1 OR xxx.xxx.xxx.2 这是可能的freeradius?