[Commentaires TUTO] Hostapd+Freeradius+LDAP

Tuto terminé : Pour l'essentiel.
Reste quelques captures d'écrans de configurations clients XP.
A y est !

évite la pub pour ton site  
je préfère que tu fasses un gros copié collé, que je me ferai un plaisir de ranger dans les tutos d'idn

sinon j'ai répondu à ton mp

...

Ok !  

Salut,

J'ai tenté par ailleurs d'activer l'accounting (joli mot pour parler de la comptabilité des sessions et des volumes de données). Malheureusement, pas d'accounting réussi.
Il semblerait que hostap et freeradius soient fâchés actuellement...

Malgré le fait d'avoir suivit les tutos de Freeradius Wiki et Freeradius mailing list, même en SQL complet, pas d'accounting ! (en repartant de zéro)

 

La partie accounting : OK !
* Comptabilité Radius :

Radius offre la possibilité de faire de la comptabilité (appelé accounting). En effet on peut enregistrer un certain nombre de données informatives telles que :

L'heure de connexion, l'identifiant, par quel NAS (borne), le nombre d'octets entrants/sortants, etc...

Ceci peut-être pratique si vous avez à facturer ou tout simplement compter les connexions !

Pour cela rien de plus simple(*).

1. Création d'une base de données avec les tables.
2. Modification de la configuration Radius et redémarrage de celui-ci.

Création de la base :

Création de la base de données « radius » :





Dans le répertoire d'installation de radius et mysql, il y a un fcihier /usr/etc/raddb/sql/mysql/schema.sql, nous allons l'utiliser pour créer les tables, etc...



Deux tables nous intéresserons : radpostauth et radacct.


Modification de Radius :

Nous allons modifier le fichier site-enable/default


Dans la partie « accounting » : concerne la table « radacct »

accounting  {

...

        #

        #  Log traffic to an SQL database.

        #

        #  See "Accounting queries" in sql.conf

        sql

...

}

Dans la partie « post-auth» : concerne la table « radpostauth »

post-auth {

...

        #

        #  After authenticating the user, do another SQL query.

        #

        #  See "Authentication Logging Queries" in sql.conf

        sql

...

}

(*) : Oui pourquoi cette étoile...

Et bien voilà, le rien de plus simple a durée 5-6 jours, en effet dans le hostapd.conf j'avais renseigné deux fois la même variable impliquant l'oublie d'une autre !

La variable renseignée deux fois était : auth_server_shared_secret

Au lieu de renseigner auth_server_shared_secret et acct_server_shared_secret !!!

Il n'y avait donc pas de valeur pour celle-ci, donc pas d' « accounting » !!!! :-/

J'ai réalisé une petite interface web de visualisation "comptable" de radius :

à 5h du mat je dors  

pense à mettre à jour le tuto, ici c'est pour les commentaires  

il ne te reste plus qu'à brosser ton tuto pour le mettre sur howtoforge  

J'éssaye, mais les idées me trottent et hop cela me réveille !  



Je le ferais !


 

Je veux bien mais on me répond "Désolé ce sujet a été fermé..."
 

réouvert

Tu peux allé le voir, mettre tes "comment" et fermer si ok !  

Bonjour,

j'essaie de suivre votre tuto pour mettre en place une authentification nomade.

Après avoir configurer les différents fichiers de conf, quand je lance mon serveur radius voici les erreurs :

/usr/etc/raddb/modules/ldap[29]: Failed to link to module 'rlm_ldap': rlm_ldap.so: cannot open shared object file: No such file or directory

/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to find module "ldap".
/usr/etc/raddb/sites-enabled/inner-tunnel[218]: Failed to parse "ldap" entry.
}
}
Errors initializing modules


je me suis renseigner sur le module rlm_ldap et apparemment il faudrait faire un gros copier coller dans radius.conf.

Enfin bref je suis un peu perdu.
Merci de réponse

commence par vérifier que tu as bien installé le module en question
sous debian : apt-get install freeradius-ldap

Cela indique que le module ldap de freeradius n'est pas ou mal compilé !
Vérifies si tu compiles freeradius que libldap2-dev soit bien installé !

merci pour t'as réponse, cela à fonctionner. J'ai installer manuellement les packet avec le gestionnaire de synoptik  

Autrement j'ai un autre problème avec LDAP, et oui ça n'arrête pas  

2 choses :

¤ J'ai bien importer le freeradius.schema dans LDAP, mais impossible de créer un user avec l'objectClass: radiusprofile.
Lors de mon ldapadd, je me tape une erreur ldap_add error (80) ; "no structuralObjectClass operational attribute"

Est il possible de vérifier si mon schéma a bien été pris en compte ?

voici mon ldif :

dn: cn=bob, ou=USER, o=ars, c=fr
objectClass: radiusProfile
cn: bob
gn: bob
uid: bob
userPassword: toto
ou: USER
dialipAccess: yes



¤ J'aurais besion de queqlques petites commandes  
=> pour tester un utilisateur LDAP sur le serveur RADIUS,
=> pour utiliser smbldap_user add

Merci à tous

Es tu sous Ubuntu ?
Parce que sous Ubuntu la gestion OpenLDAP est un peu différente !

Sur Debian, même version que tu as utilisé pour ton toto  

Question cucul !  
Tu as bien relancé LDAP ?

PS : J'avais effectivement oublié de le noter...  
Je viens de l'ajouter. N'empèche qu'au démarrage machine, c'est pris en compte !

As tu bien mis dans slapd.conf : include /etc/ldap/schema/freeradius.schema ?

Bonjour,

oui tout à fait j'ai bien placé et vérifié le freeradius.schema dans /etc/ldap/schema et bien fait le include dans le slapd.conf.

Après quelques recherches, j'en viens à penser que le problème viendrais de mon fichier ldif :

dn: cn=bob, ou=USER, o=ars, c=fr

objectClass: radiusProfile

cn: bob

gn: bob

uid: bob

userPassword: toto

ou: USER

dialipAccess: yes

J'ai essayé de faire au plus simple, mais peut être que ma déclaration n'est pas au norme pour un objectClass radiusProfile :s

Es que cela vous parais correct ?
Es que qq un pourrait me passer le code d'un user fonctionnel  
merci

dialipAccess: yes
dialupAccess: yes

Et manque une classe d'objet (radiusObjectProfile) si le compte n'est que pour radius !

dn: cn=bob, ou=USER, o=ars, c=fr

objectClass: Top

objectClass: radiusObjectProfile

objectClass: radiusProfile

cn: bob

[strike]gn: bob[/strike]

uid: bob

userPassword: toto

ou: USER

dialipAccess: yes

un peu comme :

# Exportation LDIF pour : uid=test,ou=Users,dc=dom-sln,dc=local

# Généré par phpLDAPadmin ( <a href="http://phpldapadmin.sourceforge.net/" rel="nofollow" target="_blank">http://phpldapadmin.sourceforge.net/</a> ) pour March 10, 2009 2:51 pm

# Serveur: Mon Annuaire (127.0.0.1)

# Portée de la recherche: base

# Filtre de recherche: (objectClass=*)

# Entrées totales: 1

 
dn: uid=test,ou=Users,dc=dom-sln,dc=local

cn: test

uid: test

userPassword: {MD5}CY9dhdkvofiDJie09g==

dialupAccess: yes

objectClass: radiusObjectProfile

objectClass: top

objectClass: radiusprofile

Merci, ça a marché nikel,

je vais pouvoir poursuivre le tuto ^^

 

Bonjour à tous,

me revoila avec mes petits soucis d'install.

J'essaie de mettre en place mysql avec le petit site en php.

Le soucis est quand je relance mon serveur radius, j'ai une erreur module SQL not found :s

/usr/local/RADIUS/etc/raddb/sites-enabled/default[342]: Failed to find module "sql".

/usr/local/RADIUS/etc/raddb/sites-enabled/default[314]: Errors parsing accounting section. 

 }

L'erreur ressemblant à celle que j'ai eu avec le module ldap, j'ai bien tout réinstall en installant en amont mysql 5.0, mais en vain, toujours la même erreur :s

Merci

si c'est une erreur PHP, il faut installer et activer le module php mysql (php5-mysql pour php5)
si c'est une erreur freeradius, freeradius-mysql doit être installé et activé

Je pense qu'il te manque le paquet : libmysqlclient15-dev
La partie de développement de MySQL client.
# apt-get install libmysqlclient15-dev

(Bon dans le tuto je l'avait oublié, c'est ajouté, mea culpa !)

Je vient d'install libmysqlclient15-dev et freeradius-mysql, puis j'ai ré install mon serveur radius totalement (au cas ou les packets doivent être install au préalable).

Et au final j'ai toujours la même erreur ^^.

maith tu parle d'activer freeradius_mysql, pourrais tu en dire plus ? je n'arrive pas à trouver le module.

Autrement j'ai remarque qu'il y a un fichier sql.conf, mais es qu'il faut le config, ou le laisser tel quel ?

merci

As tu compilé Freeradius, ou installé par apt-get ?

D'après :

/usr/local/RADIUS/etc/raddb/sites-enabled/default[342]: Failed to find module "sql".

Me laisse penser que tu l'as compilé !

Mais si tu installes libmysqlclient15-dev, il faut le recompiler pour que Freeradius en tienne compte !

Oui tout à fait, je l'ai recompilé.

J'ai fait un

./configure --prefix=/usr --libdir=/usr/lib --with-experimental-modules
make
make install


mais le fichier sql.conf n a pas besoin d'être configuré ?

Failed to find module "sql"

N'indique pas qu'il n'arrive pas à se connecter, mais que le module ne se lance pas !
Sinon dans sql.conf : server, login, password à configurer !

Bonjour à tous,

c'est bon j'ai trouvé mon erreur. (très très bidon)

Enfait, après avoir recompiler, il fallait décommenter la ligne 664 de radius.conf :

$INCLUDE sql.conf


@ la prochaine pour de nouvelles aventures  

Maintenant que mon serveur radius est au top ^^, je voudrais me servir d'une borne d'accès wifi Cisco. Dans mon interface de conf de la borne je peux renseigner l'@ du serveur radius.

De ce fait, dois-je toujours utiliser hostn.conf pour paramétrer ma borne ?

Autrement j'ai un peu fouiné dans le fichier clients.conf et doit-on y renseigné les adresses de mes différentes bornes wifi ?

Je boss sur un projet universitaire pour mettre en place un accès wifi sécurisé (avec plusieurs bornes).

Merci

Le clients.conf doit effectivement contenir les IP des différents NAS (network access secure) comme les switch, borne.... exemple fictif

etc...

Petit com pour vous annons réussi à mettre place notre serveur RADIUS + LDAP + Borne CISCO AP 1130AG !


 


Après des semaines de galère, enfin !


Merci à tous pour votre aide précieuse

 


PS : je pourrais publier mon tuto de fin de projet dans qq semaines

bon travail et bonne présentation de projet  

pour le tuto, faites nous ça propre + un petit MP à un modo ou admin afin qu'on le rajoute dans la liste

Quoi, c'est de la concurrence !  

Bonjour,

j'ai essayé de mettre ce tuto en place sous debian lenny. Mais je n'arrive pas à me connecter au serveur radius lorsque mes mot de passe ldp sont crypté voici le log d'erreur si quelqu'un peu m'aider.

Coté client:

Sending Access-Request of id 6 to 127.0.0.1 port 1812
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=6, length=20


Coté serveur:

Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 38640, id=6, length=60
User-Name = "spacecop"
User-Password = "toto"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
[suffix] No '@' in User-Name = "spacecop", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns updated
++[files] returns noop
[ldap] performing user authorization for spacecop
[ldap] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details
[ldap] expand: (&(uid=%{Stripped-User-Name:-%{User-Name}})(dialupAccess=yes)) -> (&(uid=spacecop)(dialupAccess=yes))
[ldap] expand: dc=sa2l,dc=com -> dc=sa2l,dc=com
rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: attempting LDAP reconnection
rlm_ldap: (re)connect to localhost:389, authentication 0
rlm_ldap: bind as cn=admin,dc=sa2l,dc=com/projetsa2l to localhost:389
rlm_ldap: waiting for bind result ...
rlm_ldap: Bind was successful
rlm_ldap: performing search in dc=sa2l,dc=com, with filter (&(uid=spacecop)(dialupAccess=yes))
[ldap] checking if remote access for spacecop is allowed by dialupAccess
[ldap] Added User-Password = {MD5}9x2+UmKKP4OnerSUgXUlxg== in check items
[ldap] looking for check items in directory...
rlm_ldap: sambaNtPassword -> NT-Password == 0x4642424635354430454630453334443339353933463535433546324341354632
rlm_ldap: sambaLmPassword -> LM-Password == 0x4241433134443034363639454531443141414433423433354235313430344545
[ldap] looking for reply items in directory...
[ldap] user spacecop authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
++[pap] returns updated
Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "toto"
[pap] Using CRYPT encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
Login incorrect (rlm_pap: CRYPT password check failed): [spacecop/toto] (from client localhost port 1812)
Using Post-Auth-Type Reject
+- entering group REJECT {...}


Merci de votre aide.

Found Auth-Type = PAP
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Replacing User-Password in config items with Cleartext-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!! Please update your configuration so that the "known good" !!!
!!! clear text password is in Cleartext-Password, and not in User-Password. !!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+- entering group PAP {...}
[pap] login attempt with password "toto"
[pap] Using CRYPT encryption.
[pap] Passwords don't match
++[pap] returns reject
Failed to authenticate the user.
Login incorrect (rlm_pap: CRYPT password check failed): [spacecop/toto] (from client localhost port 1812)
Using Post-Auth-Type Reject
+- entering group REJECT {...}

Je ne comprend pas le problème, dois je obligatoirement mettre mes mot de passe en clair dans le ldap?

Merci pour ton aide lolotux, problème résolu.

en clair ou avec chiffrement réversible

si tu as réussi avec des password chiffrés non réversible, ça m'intéresse  

Bonsoir,

j'ai juste commenté cette ligne dans modules/ldap:
password_attribute = userPassword
cela a résolu le problème. Mes mots de passe sont toujours chiffré et cela fonctionne.

bonjour

j'ai mis en place un chillispot et un radius avec mysql
et de temps en temps voir souvent des fois, j'ai le mot de passe qui est refusé. apres plusieurs recherche dans les logs
j'ai vu que le mot de passe est mal décrypté


voici les logs de freeradius :
freeradius[1136]: Login OK: [aels/sowz] (from client localhost port 11 cli 00-00-00-00-00-00)
freeradius[1136]: Login incorrect: [tdhz/\245#_\237\265\r\274Y\013\376E\271\360\362\2006] (from client localhost port 6 cli 00-00-00-00-00-00)


la 1er ligne quand ca se passe bien, la 2eme c'est quand ca se passe mal, tout les login et mot de passe sont sur 4 lettres.
j'ai essayé avec l'option $userpassword = 1 ou sans, ca ne change rien.

j'ai esssayé de tout réinstallé parreil.

je suis sur une lenny, avec apache2, mysql 5.0.51a, freeradius 2.0.4, chillispot 1.1.0 (avec compil des sources aussi).


Avez-vous une idée, ou sinon comment enlevé le cryptage du mot de passe, comme tout est sur la même machine ?


Merci

Je vous l'avez promis, voici mon tuto sur mon installation Freeradius + LDAP :

http://projets-gmi.univ-avignon.fr/projets//proj0809/M1...

J'espère pour aider de nouveau venu  


PS: bientôt à venir un Tuto Asterisk - envoi de sms gratuit

excellent tuto , un modèle du genre, presque un perfect, il manque juste les fichiers de conf entiers (en fichier attaché par exemple) et quelques précisions concernant le mapping d'attribut (ldapmap de mémoire) et l'utilisation de plusieurs annuaires (pour la tolérance de panne).

pour la partie LDAP, précise l'intérêt des index (surtout dans un cadre eduroam avec potentiellement bcp de connexions)

Merci pour le lien !  
De plus savoir que vous vous êtes inspirés de mon tuto, me rend tout fier ! C'est con !? Mais c'est comme cela.
Petite note :
- Vous parlez de "synoptic" (joli lapsus) en première page, mais je crois que c'est c'est synaptic  
- De plus les copies écrans, si vous le désirez n'hésitez pas à les copier en local sur votre serveur Web en cas de plantage du mien !

J'ai fait 3 autres tutos sur les VPN de deux types :
- Serveur VPN IPsec Linux avec authentification Radius couplée avec LDAP : http://monblog.system-linux.net/blog/2010/10/02/serveur...
- Serveur OpenVPN Linux avec authentification Radius couplée avec LDAP : http://monblog.system-linux.net/blog/2010/10/13/serveur...
- Serveur OpenVPN Linux avec authentification Windows 2003 serveur avec IAS (Radius) et Active Directory : http://monblog.system-linux.net/blog/2010/10/16/serveur...

Un autre en vue (juste dans la tête) : - Serveur VPN IPsec Linux avec authentification Windows 2003 serveur avec IAS (Radius) et Active Directory (A faire)

Qu'en pensez-vous (de faire les tutos et de ceux cités) ?

Bonjour,

J'ai suivi à la lettre le tutorial sur freeradius, OpenLDAP sur une debian sur ce site.

Mon utilisateur est bien dans mon annuaire sauf que lorsque je fais mon radtest j'ai cette erreur dans mes logs

Auth: Login incorrect (rlm_ldap: user not found)

Je ne sais pas si vous avez déjà eu cette erreur.

Merci

J'ai fais une capture de trame et je remarque qu'il ne trouve aucun utilisateur. Sauf que lorsque je fais un slapcat ou lorsque je me connecte à phpldapadmin je vois bien la présence de mon utilisateur