Sie sind nicht angemeldet.

PEAP + Freeradius + ldap, Login geht nicht

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

ginkgo

Anfänger

  • »ginkgo« ist der Autor dieses Themas

Beiträge: 1

  • Nachricht senden

1

29.01.2007, 16:36

PEAP + Freeradius + ldap, Login geht nicht

Folgendes Szenario:
Notebook -> Access Point (via EAP-PEAP) -> FreeRadius -> LDAP (eDirectory)

Login funktioniert nun nicht

radius.log

Quellcode

 
1
2
3
4
5
6
7
8

Mon Jan 29 16:12:04 2007 : Info: Ready to process requests.
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls:  Length Included
Mon Jan 29 16:13:15 2007 : Error:     TLS_accept:error in SSLv3 read client certificate A
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls:  Length Included
Mon Jan 29 16:13:15 2007 : Info:     (other): SSL negotiation finished successfully
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Mon Jan 29 16:13:15 2007 : Info: rlm_eap_mschapv2: Issuing Challenge


eap.conf (speziell tls)

Quellcode

 
1
2
3
4
5
6
7
8
9
10

tls {
                        private_key_password = whatever
                        private_key_file = /etc/raddb/certs/cert-srv.pem
                        certificate_file = /etc/raddb/certs/cert-srv.pem
                        CA_file = /etc/raddb/certs/demoCA/cacert.pem #root.pem
                        dh_file = /etc/raddb/certs/dh
                        random_file = /etc/raddb/certs/random
                        fragment_size = 1024
                        include_length = yes
                }


radiusd.conf(speziell ldap modul)

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12

ldap {
                server = "10.0.0.7"
                port = 636
                basedn = "dc=10.0.0.7"
                filter = (cn=%{Stripped-User-Name:-%{User-Name}})
                start_tls = no
                access_attr = "dialupAccess"
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                password_header = "{clear}"
                password_attribute = nspmPassword
}


Natuerlich habe ich am FreeRadius (suse 10.1) mit etherreal mitgesniffert, mit folgendem ergebnis

AP -> FreeRadius >Access Request
FreeRadius -> LDAP >SYN (aufbauen halt)
LDAP -> FreeRadius >SYN, ACK
FreeRadius -> LDAP >ACK
FreeRadius -> LDAP >Client Hello (SSLv2) HIER CHECKSUM ERROR
die ganzen acks lass ich jetzt weg
LDAP -> FreeRadius >Server Hello (TLS Paket)
LDAP -> FreeRadius >Certificate Server Hello Done (TLS Paket)
FreeRadius -> LDAP >Client Key Exchange, change cipher spec, encrypted Handshake message
LDAP -> FreeRadius >Change cipher spec, encrypted Handshake Message
FreeRadius -> LDAP >Encrypet Alert
FreeRadius -> LDAP >Application Data
LDAP -> FreeRadius >Application Data
FreeRadius -> LDAP >Application Data, Application Data
LDAP -> FreeRadius >Application Data
FreeRadius -> AP >Acess-Challenge (11) (RADIUS Paket)

dann kommen da noch ein paar requests und die letzen oben genannten wiederholen sich ein paar mal bis zum Access Reject vom Radius zum AP.

so woran koennte der Fehler liegen? am SSL?
wenn mir hier keiner helfen kann, könnt ihr mir ein geeigneteres Forum empfehlen?

lg
ginkgo
Thema bewerten