我在虚拟机上有一个radiusd服务器,当我发出“radiusd -X”akadebugging模式时,它已经configuration好了。 我唯一的问题是,当我试图运行它作为一项服务失败… 这是我在日志中得到的错误, “2014年6月28日星期六17:51:12:错误:无法绑定到接口eth1:操作不允许星期六6月28日17:51:12 2014:错误:/etc/raddb/radiusd.conf[240]:绑定到端口的错误为0.0.0.0端口1812“ 事实上,它说操作是不允许的,但我不知道Linux可以禁止在界面上绑定…此外,端口(1812)不是一个priviliged端口。 我的机器运行Scientific Linux 6.5(RHEL fork)。 我已经尝试禁用selinux,但它并没有伎俩。 无论如何,我也禁用radiusd.conf中的用户开关,以便以root身份运行,但我仍然有该操作不允许的错误。 这又奇怪了,它只能certificate服务没有以root身份运行,但是现在是“radiusd -X”,而ps人工显示我以root身份运行。 为什么我使用服务文件这个简单的事实将不会以root身份运行? 这是服务文件的启动function。 start() { [ -x $exec ] || exit 5 [ -f $config ] || exit 6 echo -n $"Starting $prog: " daemon –pidfile $pidfile $exec -d $config_dir retval=$? echo [ $retval -eq 0 ] && touch $lockfile return […]
根据这个文件: http : //deployingradius.com/documents/configuration/active_directory.html ; FreeRADIUS可以使用Samba的ntlm_auth来authenticationActive Directory用户,事实上,它可以很好地与MSCHAPv2协议配合使用。 但是使用这种方法只能用AD的sAMAccountName来authentication用户,我们想用userPrincipalName或email地址来authentication用户。 我怎样才能做到这一点? 编辑:更好地解释我需要什么。 我需要一种parsing用户logininput的方法。 因此,如果用户尝试使用电子邮件地址login,则会调用助手程序来执行LDAPsearch,并返回sAMAccountName来提供ntlm_auth 。 有FreeRADIUS预处理模块,但我不知道我是否可以用它来达到这个目的。
我们使用FreeRadius,Kerberos和Google Authenticator来实现双因素身份validation。 这两个因素auth从radtest和Watchguard防火墙都能正常工作。 要login,用户inputKerberos密码并连接Google Authenticator提供的PIN。 Radius使用pam与GAuth交谈,然后使用Kerberos。 帕姆堆栈是 /etc/pam.d/radiusd auth requisite pam_google_authenticator.so forward_pass auth required pam_krb5.so use_first_pass forward_pass指令告诉pam_google_authenticator.so删除尾随的六个字符,validation它们,然后将剩余的string作为密码传递给下一个步骤。 当Kerberos策略超时密码,需要重置(或在主体上设置+ needchange)时,会出现问题。 发生这种情况时,不通知用户。 他们正常input密码并locking,并被允许进入。后台的某些内容会将Kerberos密码更新为旧密码加上附加的引脚(例如mypasswrd123456)。 我已经validation了这个新密码实际上存在于Kerberos数据库中,可以用于进一步的身份validation,但是当然您需要意识到发生了更改并保存了组合的string。 在生产中不太可能发生。 我一直无法find正在做什么改变。 唯一的日志消息是确认密码已更新。 似乎Kerberos必须警告Radius需要更改,Radius会看到它有一个新的密码并将其传回。 我试过添加 password required deny.so 到/etc/pam.d/radiusd,但没有帮助。 OS是Ubuntu,并且软件包是用apt-get安装的。 任何想法赞赏。
我正在尝试使用带有OpenWRT + ChilliSpot的路由器以及带有Freeradius和Web服务器的外部服务器来configuration强制门户。 ChilliSpot 1.3.0 我现在的问题是freeradius服务器回答OK,如果用户名存在于数据库中,不pipe密码是否正确 经过几个月与路由器的战斗,似乎一切正常,因为它被认为是: 你连接到无线networking(你没有上网) 路由器将您redirect到强制门户 您进行login,由Chillipipe理,他们将login信息发送到FreeRadius 如果你的用户/密码是正确的,你可以访问互联网 一切工作正常,直到我试图设置Freeradius使用MySQL 。 我有点失去了所有的属性,我会做一个关于我试图实现的结构的简历: 组会议与Session-Timeout和Idle-Timeout (这两个工作正常) 我已经在表radgroupreply中设置了会话和空闲超时 有Expiration和Chap-Passwords 我把这个属性添加到表格radcheck 我还添加了我的意图使事情工作一些其他属性: Service-Type == Login-User Fall-Through = Yes 进入radcheck和radgroupcheck表(我supose我必须改变这一点) 我试图读/find一些地方知道FreeRadius属性,但我不知道他们,如果我把他们放在radchek或radreply(或radgroupcheck / radgroupreply)。 我已经尝试了FreeRadius RFC,但是我不确定这些属性。 这是Chilli发送给Freeradius的查询: rad_recv: Accounting-Request packet from host port 58620, id=16, length=222 ChilliSpot-Version = "1.3.0-svn" ChilliSpot-Attr-10 = 0x00000002 Event-Timestamp = "Jan 1 1970 00:17:18 UTC" […]
首先,这是我的configuration到目前为止。 http://pastebin.com/fV2NGCE2 我已经通过一些在线指南以及思科ISG(智能服务网关)的15.2s手册和xe3手册,了解我想要从中获得什么,但是我不知道实际应用到路由器。 Internet <—-GE0/1—-> 7206VXR <—-GE0/3—-> Clients | | freeRADIUS 这个想法是,通过GE0 / 1连接到互联网,客户端都将使用pppoe通过layer2连接到GE0 / 3,使用virtual-Template1作为pppoe的东西,而aaa则通过radius连接到freeRADIUS。 这一切工作。 但现在我想这样做,除非pppoe连接连接并成功login,客户端仍然会获得第3层networking访问,但只能到10.0.1.2。 当他们连接成功和login,然后他们将被允许到互联网的第三层。 现在,他们从路由器上运行的DHCP服务器获得一个IP,并将其连接到互联网。 我想修改它,以便ISG不仅影响他们得到的地址,而且只允许他们到10.0.1.2地址,直到他们使用pppoe连接login。 有任何想法吗? 有没有人设置过?
我试图configurationSamba( apt-get install samba )来validation用户使用RADIUS服务器,我找不到任何有用的东西。 可能吗 ? 我想我可以设置Samba使用PAMauthentication,然后configurationPAM使用RADIUS服务器。 但是我在Samba File Server + PAM + Berkeley DB或Samba + PAM上find了 Samba不能使用PAM,因为SMB协议指定了一组不兼容的散列,这些散列不能与PAM一起使用(需要明文密码或密码的某些哈希版本)。 操作系统:Debian 7.8 x64 RADIUS:FreeRadius 2.1.12 软件包samba:2:4.1.17 + dfsg-2
我正在为学生宿舍创build一个ISP。 局域网已经在那里工作,有几台CISCO交换机。 我想通过安全和自动的方式提供互联网给那些支付(每月)的人。 在不久的将来,也可能会有一个接入点(CISCO)在一个“不太私人的”地方(主要是学生,但他们可能不住在这个住所)连接到networking,所以连接必须是担保和限制在居民(只有付费用户无线接入networking是可以接受的)。 这是我的愿望: login应该是直截了当的,并适应一个不断变化的社区(每年150-200个class次/到达) 在订阅结束后自动断开用户与Internet的连接(他仍然可以使用LAN) Internet网关的pipe理界面(带宽,连接用户…) 强制门户(或其他)解释如何订阅非付费用户想访问互联网 然而,我有一个很大的限制:人们(付费用户)不得不能够在他们之间进行通信(同一个VLAN)。 对于1.我认为802.1x PEAP是正确的解决scheme,它使用服务器上的证书和客户端部分只有用户名/密码。 我不必把证书放在每个设备上。 对于2.我正在考虑从LDAP radiusProfile objectClass使用“过期”,并在用户订阅时更新此值。 对于3.和4.解决scheme之一可能是pfSense。 由于802.1x和用户在同一局域网上的限制,还有另外一种可能性,使得非付费用户有一个RADIUS“用户帐户”? 我假设不是。 据我所知,在networking设备(AP或交换机)上configuration了802.1x,并直接与RADIUS服务器进行通信,因此pfSense如何知道用户何时在其中一个networking设备上进行身份validation,以便绕过强制门户? 我不希望我的用户必须login他们的设备,并再次在强制门户网站上login,它必须是透明的。 下面是我看到的实现: User NP: non-paying user = access to LAN but not to Internet; access to captive portal when asking for Internet; User P: paying user = access to LAN and Internet until suscription expires; […]
我有freeradius 2.2.6。 只有在第一次连接的客户端发送访问请求和计费请求。 后来的连接只发送计费请求! 这个问题只发生在sone智能手机(所有其他设备工作),但客户端连接。 rad_recv: Accounting-Request packet from host 192.168.100.110 port 56137, id=246, length=165 Acct-Session-Id = "386D43F9-0000002C" Acct-Status-Type = Start Acct-Authentic = RADIUS User-Name = "test" NAS-IP-Address = 192.168.100.110 Vendor-29671-Attr-1 = 0x53797345646974 NAS-Port = 0 Called-Station-Id = "00-18-0A-7A-91-3C:Netweek" Calling-Station-Id = "78-4B-87-67-A9-1C" Framed-IP-Address = 192.168.1.33 NAS-Port-Type = Wireless-802.11 Connect-Info = "CONNECT 0Mbps 802.11b" # Executing […]
我运行Ubuntu 12.04和OpenLDAP 2.4.28-1.1ubuntu4.5。 我有用户在LDAP中填充userPassword属性是{SHA1}散列。 用户可以通过SSHlogin并通过Web应用程序进行身份validation。 现在,我想添加Radiusauthentication(从一个OTP服务器)到LDAP服务器作为一个额外的机制。 这样,用户可以通过Radius的“一次性密码”进行身份validation,但所有的POSIX属性都会从LDAP中被拉下来。 这可能吗? 什么机制叫?
FreeRadius可以呈现SHA1证书,是否接受SHA2客户端证书并根据接受SHA1和SHA2证书的CA进行validation? 另一个select是FreeRadius针对一个CAvalidationSHA1签名证书,并针对另一个CAvalidationSHA2签名证书。 这可能吗? 我试图将带有SHA1签名证书的Android设备迁移到SHA2,而不需要同步设备和FreeRadius中的证书更改(具有可用性风险)。 在这种体系结构中,客户端和FreeRadius都使用数字证书进行身份validation。