Folgendes Szenario:
Notebook
Access Point (via EAP-PEAP)
FreeRadius
LDAP (eDirectory)
Login funktioniert nun nicht
radius.log
|
Quellcode
|
1
2
3
4
5
6
7
8
|
Mon Jan 29 16:12:04 2007 : Info: Ready to process requests.
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Length Included
Mon Jan 29 16:13:15 2007 : Error: TLS_accept:error in SSLv3 read client certificate A
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Length Included
Mon Jan 29 16:13:15 2007 : Info: (other): SSL negotiation finished successfully
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_mschapv2: Issuing Challenge
|
eap.conf (speziell tls)
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
|
tls {
private_key_password = whatever
private_key_file = /etc/raddb/certs/cert-srv.pem
certificate_file = /etc/raddb/certs/cert-srv.pem
CA_file = /etc/raddb/certs/demoCA/cacert.pem #root.pem
dh_file = /etc/raddb/certs/dh
random_file = /etc/raddb/certs/random
fragment_size = 1024
include_length = yes
}
|
radiusd.conf(speziell ldap modul)
|
Quellcode
|
1
2
3
4
5
6
7
8
9
10
11
12
|
ldap {
server = "10.0.0.7"
port = 636
basedn = "dc=10.0.0.7"
filter = (cn=%{Stripped-User-Name:-%{User-Name}})
start_tls = no
access_attr = "dialupAccess"
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
password_header = "{clear}"
password_attribute = nspmPassword
}
|
Natuerlich habe ich am FreeRadius (suse 10.1) mit etherreal mitgesniffert, mit folgendem ergebnis
AP
FreeRadius >Access Request
FreeRadius
LDAP >SYN (aufbauen halt)
LDAP
FreeRadius >SYN, ACK
FreeRadius
LDAP >ACK
FreeRadius
LDAP >Client Hello (SSLv2)
HIER CHECKSUM ERROR
die ganzen acks lass ich jetzt weg
LDAP
FreeRadius >Server Hello (TLS Paket)
LDAP
FreeRadius >Certificate Server Hello Done (TLS Paket)
FreeRadius
LDAP >Client Key Exchange, change cipher spec, encrypted Handshake message
LDAP
FreeRadius >Change cipher spec, encrypted Handshake Message
FreeRadius
LDAP >Encrypet Alert
FreeRadius
LDAP >Application Data
LDAP
FreeRadius >Application Data
FreeRadius
LDAP >Application Data, Application Data
LDAP
FreeRadius >Application Data
FreeRadius
AP >Acess-Challenge (11) (RADIUS Paket)
dann kommen da noch ein paar requests und die letzen oben genannten wiederholen sich ein paar mal bis zum Access Reject vom Radius zum AP.
so woran koennte der Fehler liegen? am SSL?
wenn mir hier keiner helfen kann, könnt ihr mir ein geeigneteres Forum empfehlen?
lg
ginkgo