configuration de freeradius sous debianFermé

Question

Bonjour à tous, j'essaye depuis des semaines  de configurer Freeradius et LDAP dans le but de mettre en place un portail captif! Au secours!!! à l'aide,. J'ai suivi les commandes que j'ai téléchargé sur google mais la configuration n'a jamais été réussi!!!

Jakscoreur74 · Accepted Answer

Bonjour Leslie,

Il existe pas mal de tutos sur internet concernant l'installation de FreeRADIUS.
Je t'en donne les principales étapes (pour un environnement Linux) ci-dessous:

1- Vérifie que tu possède bien deux interfaces réseau (sous environnement Linux Eth0 et Eth1) dont une ayant un accès internet (généralement Eth0).

2- Installe les mises à jour de paquets et télécharge freeRADIUS:
#apt-get update  (pour la maj des paquets)
#apt-get install freeradius (pour installer freeRADIUS)
#apt-get install freeradius-ldap (pour la compatibilité LDAP)

Tu as donc à partir de là les éléments nécessaires au fonctionnement Freeradius - LDAP
-->Plusieurs fichiers de configuration sont à modifier:

3-Configure ton FreeRADIUS:
ouvre avec un éditeur de texte (gedit,nano, vi,...) le fichier /etc/freeradius/radiusd.conf
  Ce fichier contient les éléments principaux permettant la configuration de FreeRADIUS, ainsi que les modules complémentaires (pour nous LDAP)
Ce fichier, comme tous les fichiers de conf FreeRADIUS contient par défaut un tas de lignes (pour la plupart précédées d'un "#"). Ce # signifie que ces lignes sont commentées et donc NON-INTERPRETEES. -->Il est donc logique que pour activer les fonctionnalitées qui nous intéressent, de décommenter les bonnes lignes (enlever le #). ATTENTION: il n'y à quasiment JAMAIS RIEN A AJOUTER aux fichiers de conf. On se contente en général de modifier une ou plusieurs parties et on décommente. Les gens qui plante le serveur sont en général ceux qui le modifie le plus (mais par défault tout fonctionne bien, et tout est déja présent  ;-) ).
Bref: la partie de ce fichier qui nous intéresse est le module LDAP. Il suffit alors de trouver la partie "modules{ " et de VERIFIER que la ligne $INCLUDE {confdir}/modules/   est présente, et si oui il faut enlever le # pour l'activer (mais je crois que c'est déja le cas par défaut) Cette ligne veut dire "inclue les modules qui sont dans /etc/Freeradius/modules/ et si tu vas faire un tour dans ce dossier, tu verra qu'un joli fichier nommé "ldap" est présent et attend gentiment d'être configuré :-)

Bien jusque là pas trop de difficultés si ? 
Maintenant qu'on à préciser à radius quel module utiliser, il faut les "autoriser"
On vas donc aller dans le fichier /etc/Freeradius/sites-available/default pour décommenter un peu ^^ 
--> dans ce fichier default, dans la partie authorize{ tu verra que le mot "file" est décommenté, ce qui veut dire que Freeradius autorise l'utilisation d'un fichier pour authentifier les gens (le fichier "user" pour être précis). Nous on veut utiliser le LDAP donc trouve dans cette même partie le mot "ldap" et décommente le. De même dans la partie authenticate{ trouve les 3 ligne (à la suite) qui disent Auth-Type LDAP{  ldap } et décommente ces 3 lignes (tu peux t'aider du bon vieux CTRL+F pour trouver ces lignes si tu utilise un éditeur de texte graphique comme gedit par exemple). Tu as maintenant la bonne configuration pour utiliser ton ldap avec freeradius.

Bon! tu te souviens de notre fichier "ldap" dans /etc/Freeradius/modules/ ? eh bien c'est à son tour d'y passer et c'est sans doute le plus chiant si tu as un annuaire LDAP compliqué ^^ On y va avec le sourire quand même :
Dans ce fichier on va modifier des infos de la partie ldap{
--> trouve donc la ligne serveur=, décommente la si ce n'est pas fait par défaut, puis remplace la valeur après le = par l'adresse IP de ton LDAP (à mettre entre guillemets)(Windows Serveur je suppose). Ensuite vient la ligne identity -->ici il faut renseigner un utilisateur de ton ldap qui va dire à FreeRADIUS "ok c'est moi Leslie, j'ai le droit de lire dans le ldap donc laisse moi passer". En gros il doit avoir le droit AU MOINS de lire dans l'annuaire LDAP pour aller chercher les gens.
--> Tu renseignes donc cette ligne en partant du point le plus précis de ton ldap (le nom) et tu remonte son arbre (exemple: identity = "cn=Leslie,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL") Attention de bien respecter la casse!. Apres remplie bien les bons termes sinon le ldap te jettera! ^^
Ligne suivante: password =  Eh bien ici tout simplement le mot de passe de la personne juste au dessus :-)
Ligne suivante: basedn =  là il faut renseigner le dossier où sont stockés les utilisateurs du ldap (toujours en partant du point le plus précis) --> exemple: basedn = "ou=utilisateurs,dc=DOMAINE,dc=LOCAL".

Bien bien généralement les soucis viennent d'ici car on fait facilement des erreurs en renseignant ces champs héhé. On verra comment vérifier ça après. Passons à la ligne filter = -->Ne modifie cette ligne que si tu utilise un Active directory Windows. et si c'est le cas, change le "uid=...etc" par sAMAccountName=...(le reste de la ligne ne change pas)
 
Bon c'est pas trop mal là :-) Ah et si tu utilise toujours un Active directory Windows, décommente les deux lignes chase_referrals = yes et rebind = yes un peu plus loin dans ce même fichier (par soucis de compatibilité avec l'AD tout simplement).

4-test
Bon bah le plus dur est derrière. On va faire un petit test pour vérifier le bon fonctionnement de nos config:

Avant de lancer le test il faut redémarrer notre serveur FreeRADIUS (eh oui sinon les changements ne seront pas pris en compte :/ sa serait balo)
#/etc/init.d/freeradius restart (ou start si il n'est pas démarré mais par défaut il l'est).

Passons au test:
On utilise pour ça la commande radtest. Elle simule une demande d'authentification radius avec nos paramètres actuels.

Voici sa syntaxe: radtest "login" "mot de passe" "@serveur FreeRADIUS" "port de connexion" "Secret Radius"
Quelques explications; bon login et mot de passe sa ira ce sont les identifiants du ldap que tu veux tester
, @serveur FreeRADIUS c'est "localhost" ou "127.0.0.1" car le serveur est sur ta machine ^^, le port par défaut c'est 1812 (pour FreeRADIUS) mais tu peux mettre 0 sa ira aussi dans notre cas. Secret Radius c'est "testing123"  car tu le sais sans doute déja mais freeradius contient une liste de "clients" sur lesquels les utilisateurs se connectent (routeur wifi, switchs, ...) identifiés dans le fichier /etc/Freeradius/clients.conf mais pour notre test le client c'est nous (localhost) et si tu vas faire un tour dans le fichier, il existe déjà par défaut et possède comme sercet "testing123" Voila voila.

Si ta commande fonctionne: tu devrais recevoir un joli message rad_recv: acces-accept from host 127.0.0.1 ... ce qui veut dire que l'authentification à réussi!

Si ce n'est pas le cas, alors c'est FORCEMENT qu'il y à un soucis de conf (soit une ligne non décommentée (ou mal écrite) soit une erreur dans un de tes chemins LDAP.

Dans tous les cas je te conseille de couper ton FreeRADIUS (avec la commande /etc/init.d/freeradius stop et de le relancer en mode "debug" (pour voir tous ce qu'il fait :D) avec la commande freeradius -X Tu verra ainsi en refaisant un radtest toutes les étapes (en anglais bien sûr) et donc sans doute les endroits où ça coince :-)  )

Pour ce qui est de ton portail captif, je ne sais pas lequel tu compte utiliser, mais je serai de t'apporter mon savoir s'il s'agit de Chillispot ou Coova-chilli (qui apportent beaucoup de fil à retordre généralement)

En espérant t'avoir aidé!!
Bon courage


Jak

leslie45 · Answer

slt!! Merci beaucoup d'avoir répondu à mon appel. Mais là je ne suis que sur le lancement de la commande radtest et j'ai comme réponse: no response from the server!
J'ai visité qlques tuto mais ça n'a rien changé.
Je suis bien en root mais le problème c'est que je ne vois aucun freeradius dans /etc/init.d, ce qui veut dire que le serveur n'est même pas lancé. j'ai essayer service freeradius start, il me répond "service unrecognize". Alors que quand je lance raduisd-X, j'ai bien ready for request.
Quelqu'un peut m'aider?

leslie45 · Answer

Désolé mais j'ai déja réussi à résoudre le problème!!! je crois que c'était un problème de certificat et un problème de commande, j'ai essayer raduisd restart!!! et voilà, ça a marché!!! 
Je vais donc poursuivre, à bientôt

Usbeth · Answer

Bonjour,

Je viens de réaliser tout ce que tu as dis. Pourtant j'ai une erreur lors du test. Je n'arrive pas à la trouver ! Peut tu m'aider ?

Je suis sous Ubuntu.

Voici tous mes fichiers de conf (il y a juste le stricte minimum) :

radiusd.conf : 
La ligne suivante est bien dé commentée :
$INCLUDE ${confdir}/modules/

default :
authenticate {
 Auth-Type PAP {
  pap
 }
 Auth-Type CHAP {
  chap
 }
 Auth-Type MS-CHAP {
  mschap
 }
 digest
should
 unix
 Auth-Type LDAP {
  ldap
 }

ldap :
ldap {
 #
 #  Note that this needs to match the name in the LDAP
 #  server certificate, if you're using ldaps.
 server = "10.1.69.50"
 identity = "cn=Mickael,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL"
 password = "123456789"
 basedn = "ou=utilisateurs,dc=DOMAINE,dc=LOCAL"
 filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
 #base_filter = "(objectclass=radiusprofile)"

J'ai vérifié environ je sais pas combien de fois je ne trouve pas l'erreur !

Voici la commande que je tape avec radtest :
radtest Mickael 123456789 127.0.0.1 1812 testing123
Voici ce qui suis dans le terminal lors de l'écriture de cette commande :
Sending Access-Request of id 210 to 127.0.0.1 port 1812
 User-Name = "Mickael"
 User-Password = "123456789"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=210, length=20
Et voici ce que j'obtien dans mon xterm (un autre terminal avec la commande freeradius -X activé) :
rad_recv: Access-Request packet from host 127.0.0.1 port 42438, id=210, length=77
 User-Name = "Mickael"
 User-Password = "123456789"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0xbb5ae6f22954f4567b3d356bc2a9b10c
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "Mickael", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
[ldap] performing user authorization for Mickael
[ldap]  expand: %{Stripped-User-Name} -> 
[ldap]  ... expanding second conditional
[ldap]  expand: %{User-Name} -> Mickael
[ldap]  expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=Mickael)
[ldap]  expand: ou=utilisateurs,dc=DOMAINE,dc=LOCAL -> ou=utilisateurs,dc=DOMAINE,dc=LOCAL
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] attempting LDAP reconnection
  [ldap] (re)connect to 10.1.69.50:389, authentication 0
  [ldap] bind as cn=Mickael,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL/123456789 to 10.1.69.50:389
  [ldap] cn=Mickael,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL bind to 10.1.69.50:389 failed: Can't contact LDAP server
  [ldap] (re)connection attempt failed
[ldap] search failed
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns fail
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]  expand: %{User-Name} -> Mickael
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 210 to 127.0.0.1 port 42438
Waking up in 4.9 seconds.
Cleaning up request 0 ID 210 with timestamp +28
Ready to process requests.


J'espère que vous pourriez m'aider, je suis un peu perdu dans tout ceci..

Merci d'avance,
Usbeth
 
Allez faire un tour sur mon site ;)
www.frayday.wordpress.com

Jakscoreur74 · Answer

Bonjour Usbeth,

Ton log radius parle de lui même en te donnant la raison de l'echec du radtest:

10.1.69.50:389 failed: Can't contact LDAP server
  [ldap] (re)connection attempt failed

ce qui signifie que, avant même que FreeRADIUS ne cherche Mickael dans ton Ldap, il n'arrive déjà pas à contacter ce dernier.

Je remarque que tu as comme adresse LDAP 10.1.69.50
donc suggestion:
Arrives tu à pinguer 10.1.69.50 depuis ta machine serveur?
--> Essaie un # ping 10.1.69.50
Si le ping ne passe pas (network unreachable ou autre), alors il te faut te placer sur le même réseau que ton serveur LDAP, ou du moin faire en sorte de pouvoir le joindre.

En revanche, si le ping passe, alors on approfondira la recherche..
Courage à toi,

Jak

Usbeth · Answer

Salut,

Tout d'abord merci de ta réponse.

Bah en faite FreeRadius & Ldap sont sur la même machine. A savoir 10.1.69.50.
Vu que l'adresse IP 10.1.69.50 est l'adresse IP du PC avec lequel j'essaie de pinguer. Quelque soit ma config je suis capable de le pinguer.
D'ailleurs c'est pour cela que je ne comprends pas. Vu que je fais tout sur la même machine, pourquoi je n'arrive pas a contacter le serveur Ldap ? Je m'attendais à avoir un problème, mais pas de ce type là.

Pourtant j'ai suivis exactement ce que tu as dis dans ton tuto. Enfin, sauf erreur d'inattention ou autre. Il y a forcement un problème vu que ça ne fonctionne pas parfaitement :)

Merci encore,
Usbeth

Usbeth · Answer

Bonjour,

J'ai désinstallé freeradius et j'ai recommencé tout depuis le début. J'ai exactement la même erreur :
radtest Leslie mypass 127.0.0.1 1812 testing123
Sending Access-Request of id 229 to 127.0.0.1 port 1812
 User-Name = "Leslie"
 User-Password = "mypass"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=229, length=20


Résultat sous la commande "freeradius -X" :
rad_recv: Access-Request packet from host 127.0.0.1 port 50608, id=229, length=76
 User-Name = "Leslie"
 User-Password = "mypass"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0x625f2c3a9ecdc39a3a4d4f466c78e369
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "Leslie", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
[ldap] performing user authorization for Leslie
[ldap]  expand: %{Stripped-User-Name} -> 
[ldap]  ... expanding second conditional
[ldap]  expand: %{User-Name} -> Leslie
[ldap]  expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=Leslie)
[ldap]  expand: ou=utilisateurs,dc=DOMAINE,dc=LOCAL -> ou=utilisateurs,dc=DOMAINE,dc=LOCAL
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] attempting LDAP reconnection
  [ldap] (re)connect to 10.1.69.50:389, authentication 0
  [ldap] bind as cn=Leslie,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL/mypass to 10.1.69.50:389
  [ldap] cn=Leslie,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL bind to 10.1.69.50:389 failed: Can't contact LDAP server
  [ldap] (re)connection attempt failed
[ldap] search failed
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns fail
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]  expand: %{User-Name} -> Leslie
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 229 to 127.0.0.1 port 50608
Waking up in 4.9 seconds.
Cleaning up request 0 ID 229 with timestamp +9
Ready to process requests.


De plus, lorsque je fais les commande suivantes, j'ai les résultats suivants :
/etc/init.d/freeradius stop
 * Stopping FreeRADIUS daemon freeradius                                                                                                                     * /var/run/freeradius/freeradius.pid not found...                                                                                                   [ OK ] 
brice-HP etc # /etc/init.d/freeradius start
 * Starting FreeRADIUS daemon freeradius                                                                                                             [fail]

Mon freeradius & Ldap sont sur la même machine à savoir l'@IP suivante "10.1.69.50". Je comprends pas pourquoi il y a une erreur pour contacter ce fameux serveur Ldap alors qu'il est sur la même machine.

Y aurait il quelqu'un qui connaît la réponse et puisse me sauver la vie ?!

Merci encore,
Usbeth

Allez faire un tour sur mon site ;)
www.frayday.wordpress.com

leslie45 · Answer

salut à tous, je crois que j'ai crié victoire trop tôt!!!
Mon serveur ne démarre pas!!
J'ai pourtant taper toutes les commandes inimaginables: service freeradius start, radiusd -X, service radiusd start. il me répond à chaque fois, serevice unrecognize.
En lançant la commande radiusd start ou radiusd stop, rien ne s'affiche, ça devrait marcher mais en vérifiant dans /etc/init.d, il n'y a aucun service de freeradius.
Donc j'ai essayé de le configurer avec ldap mais j'ai pleine d'erreur: failed to link rlm_ldap 
Quelque chose comme ça. Quelqu'un peut m'aider?

Usbeth · Answer

Bonjour,

Pour résoudre mon problème peut être dois-je faire ceci :

1 => S'assurer que les modules "ldap" sont décommentés dans els fichiers radiud.conf, /etc/freeradius/site-available/default, /etc/freeradius/site-available/inner-tunnel

2 => éditer /etc/freeradius/clients.conf :

client localhost {
ipaddr = 127.0.0.1
secret = votre_secret_nas_radius
nastype = other
}

3 => éditer /usr/share/freeradius/dictionary et y rajouter :

VALUE Auth-Type LDAP 5

4 => éditer /etc/freeradius/users et y rajoutez :

DEFAULT Auth-Type := LDAP
Fall-Through = 1 

Qu'en pensez vous ? Apparemment, l'étape 4 il ne faut pas la faire, enfin les avis diverges dessus. Soit disant  "ça n'apporte que des erreurs et si on lance est en mode debug freeradius (sudo freeradius -X) il nous crache une vilaine erreur !".

Je ne comprends pas non plus pourquoi il me dis "/var/run/freeradius/freeradius.pid not found..." (voir message précédent) et surtout son utilité. Quelqu'un pourrait m'aider ?

A force de chercher partout je fais plein de config différentes/test. Mais je n'ai toujours pas le résultat recherché. Le bon fonctionnement de mon serveur freeradius.

Cordialement,
Usbeth
 
Allez faire un tour sur mon site ;)
www.frayday.wordpress.com

Jakscoreur74 · Answer

Bonjour Usbeth :)

En effet si ton serveur LDAP n'est pas "allumé", tu pourra faire toutes les modif que tu souhaite sur FreeRADIUS sans résultat ^^

Pour ton dernier message: 

j'ai l'impression que "Leslie" se connecte correctement (sauf qu'il manque le serveur xD) :

[ldap] bind as cn=Leslie,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL/mypass to 10.1.69.50:389

Il ne s'agit ici que d'une impression, en fait ton log FreeRADIUS se sert simplement de ton fichier ldap (module freeradius) pour t'afficher cette jolie ligne mais il n'essaye même pas de le/la chercher.

Mais bon, tu as trouvé le problème, et c'est le principal :)
Il te faut démmarer ton ldap (pour le rendre fonctionnel), et là je n'ai pas vraiment moyen de t'aider sans infos complémentaire (quelles commandes as tu tapé pour installer/configurer ton ldap) Dans mon cas il s'agissait d'un LDAP Windows et donc créé avec un Windows Serveur 2008R2.

Toi je n'en ai pas la moindre idée (tu m'as simplement indiqué qu'il ne s'agissait pas d'OpenLDAP :)  )

Tu touches au but :)
Courage!

Jak

Usbeth · Answer

Salut à toi !

Aujourd'hui je suis motivé à régler ce problème !

Okay je vois. Pour installer/configurer mon ldap J'ai simplement fait:
apt-get install freeradius-ldap 
 Comme tu as dis dans le tuto, que tu as fait. Et ensuite j'ai fait tout ce que tu as dis dans le tuto. Je n'ai touché a rien d'autre. J'ai un fichier dans /etc/ldap/ldap.conf (il y a que ce fichier dans ce dossier). J'ai regardé ce qu'il y a dedans, c'est à dire pas grand chose.

Fichier /etc/ldap/ldap.conf :
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE	dc=example,dc=com
#URI	ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT	12
#TIMELIMIT	15
#DEREF		never

# TLS certificates (needed for GnuTLS)
TLS_CACERT	/etc/ssl/certs/ca-certificates.crt
A mon avis ca doit être impossible cette manière si je ne fais pas le Ldap sur Windows non ? Pense tu que je devrais faire un OpenLdap vu que je suis sur Ubuntu et non sur Windows comme toi ? Pourrez tu m'aider à le mettre en place si tu sais faire ?

Cordialement,
Usbeth.

Usbeth · Answer

Re ! :D

Désolé du double message mais important pour résoudre cette affaire de meurtre ! :O

Nous avons un indice incroyable ! Le serveur Ldap FONCTIONNE !! :
apt-get install slapd

radtest Leslie kikou 127.0.0.1 1812 testing123
Sending Access-Request of id 159 to 127.0.0.1 port 1812
 User-Name = "Leslie"
 User-Password = "kikou"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=159, length=20

rad_recv: Access-Request packet from host 127.0.0.1 port 37687, id=159, length=76
 User-Name = "Leslie"
 User-Password = "kikou"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 Message-Authenticator = 0x836e0a504ea6396922e228599deeb301
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "Leslie", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
[ldap] performing user authorization for Leslie
[ldap]  expand: %{Stripped-User-Name} -> 
[ldap]  ... expanding second conditional
[ldap]  expand: %{User-Name} -> Leslie
[ldap]  expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=Leslie)
[ldap]  expand: ou=utilisateurs,dc=DOMAINE,dc=LOCAL -> ou=utilisateurs,dc=DOMAINE,dc=LOCAL
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] attempting LDAP reconnection
  [ldap] (re)connect to 10.1.69.50:389, authentication 0
  [ldap] bind as cn=Leslie,ou=admin,ou=info,dc=DOMAINE,dc=LOCAL/kikou to 10.1.69.50:389
  [ldap] waiting for bind result ...
  [ldap] LDAP login failed: check identity, password settings in ldap section of radiusd.conf
  [ldap] (re)connection attempt failed
[ldap] search failed
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns fail
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]  expand: %{User-Name} -> Leslie
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 159 to 127.0.0.1 port 37687
Waking up in 4.9 seconds.
Cleaning up request 0 ID 159 with timestamp +5
Ready to process requests.

J'ai éffectué un :
ldapsearch -x -b "ou=utilisateurs,dc=DOMAINE,dc=LOCAL" 'uid=Leslie' 
# extended LDIF
#
# LDAPv3
# base <ou=utilisateurs,dc=DOMAINE,dc=LOCAL> with scope subtree
# filter: uid=Leslie
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1


Je sais pas ce que ça veux dire mais c'est fantastique ! :D Maintenant c'est l'authentification qui ne fonctionne pas xD (Et oui ! Il faut toujours un problème ! Mais on va vaincre !). Donc !

Bah maintenant il faut faire fonctionner tous ceci et comprendre pourquoi l'auth ne fonctionne point. Acceptez vous la mission ? OUI ! Nous allons vaincre !

Cordialement,
Usbeth.
 
Allez faire un tour sur mon site ;)
www.frayday.wordpress.com

Jakscoreur74 · Answer

Ah ! Voila qui explique tout :)

 Tu n'as tout simplement pas de ldap

Bien La première faute est miènne:
Mon tuto consistait à l'installation de FreeRADIUS avec une COMPATIBILITE ldap (d'où l'installation du module freeradius-ldap) MAIS ATTENTION, il te faut OBLIGATOIREMENT un ldap configuré et prêt A COTE :)

J'aurais dû le préciser, freeradius-ldap n'est pas un LDAP mais un module de compatibilité avec un ldap :)

je te cite:

apt-get install slapd

Ça c'est un daemon (un processus) qui gère le ldap :)   (basé d'ailleur sur OpenLDAP)

Il te faut dans un premier temps faire 
#sudo -s   pour être en root et le rester (il te demande le mot de passe de session)
#apt-get install slapd pour installer un daemon ldap (donc ton ldap)
#apt-get install ldap-utils (pour tes tests)
#dpkg-reconfigure slapd pour configurer ton ldap


Ici ça devient important:

slapd te demande alors: 
       1.Passer la configuration d'OpenLDAP ?  tu met "non"
se suivent:
       2.Nom de domaine ? réponse:  example.local (met le nom de ton entreprise, école, maison ce que tu veux ^^)
       3.Nom de votre société ? réponse:  même nom sans le ".local"
       4.Quelle base de donnée ? réponse: hdb 
       5.Voulez-vous que la base de donnée soit effacée ... Réponse:   oui 
       6.Supprimer les anciennes bases de données ? Réponse: oui
       7.Mot de passe administrateur ? Réponse: TonMotDePasse
       8.Confirmer ce mot de passe ? Réponse: le même mot de passe
       9.Authoriser le protocol LDAPv2 ? Réponse: non


après ça ton ldap est créé. Ouvre alors le fichier /etc/ldap/ldap.conf qui devrait normalement exister: voici son contenu

ldap_version 3
URI ldap://localhost:389
SIZELIMIT 0
TIMELIMIT 0
DEREF never
BASE dc=example, dc=com

Change ton premier dc="le nom sans .local que tu as renseigné avant"
et ton deuxième dc="local"


ensuite ouvre /etc/ldap/slapd.conf et change le comme ceci:

suffix          "dc=lenom sans .local,dc=local"
directory       "/var/lib/ldap"
rootdn          "cn=Leslie ou admin toi qui vois,dc=nom sans .local,dc=local"
rootpw          TonMotDePasse

Ensuite il faut remplir ton ldap (ajoute des "ou" (unités d'organisations) et  des utilisateurs (par exemple notre Leslie si tu ne l'a pas mis au dessus ^^)

INFO: exemple d'un ldap d'école pour que tu comprenne l'architecture:

domaine .............ecole.local
................................. /\.............................................
................................./...\...........................................
................................/......\..........................................
.............................. /.........\.........................................
..................ou Profs ..........ou Eleves.............
..................../....................../................\......................
...cn=Jean Pierre ...........ou CM1.......ou CM2.................
... cn=Anne Marie..................|.................|.....................
............... ... ...................Jenny ........Thibault...............
........................................Louis ...........Karim...............



Remplis donc ton ldap comme bon te semble :) en tapant:

#gedit /etc/ldap/init.ldif    (tu devras peut etre le créer)

note: aide toi de ce site pour remplir: http://doc.ubuntu-fr.org/slapd   (partie 3: remplir ldap)


Et redis moi quand tu aura fini tout ça :)

Allez courage!

Jak

leslie45 · Answer

slt!! je vois que vous au moins, vous avez un ready for request en lançcant radius en mode debug; et bien moi pas. Il y est écrit, failed to link module rlm_ldap, j'ai essayer d'installer freeradius-ldap avec:
apt-get update
apt-get  upgrade
apt-get freeradius-ldap
Mais il me répond que  freeradius-ldap est déja la version la plus récente installée.
Est-ce que cela veut dire qu'il est déja installé dans ma machine?
Help please? que dois-je faire, j'ai vraiment pas envie de le désinstallé car j'ai mis des semaines à m'en sortir de" no reponse from the serveur" et j'ai installé freeradius à l'aide d'un paquet freeradius-server-2.2.0.tar.gz.

leslie45 · Answer

j'ai refais l'installation plusieurs fois et oui, j'ai bien installé freeradius-ldap, dans d'autres forum, ils disent que le modules n'est pas activé? comment ça?
alors que j'ai déja recompilé combien et combien de fois!!

Usbeth · Answer

as tu installé slapd ? (serveur ldap)

Usbeth · Answer

Salut,

Merci jak, je vais essayer ça, mais j'ai un petit problème j'ai plus le fichier "directory" !
Quelqu'un l'aurais pour moi ?
Je suis un boulet ^^"

leslie45 · Answer

slt Jak! Merci pour tes conseils! Car maintenant que  j'ai plus d'erreur en lançant en mode debug, MAIS en lançant la commande radtest, j'ai un access-reject, ce qui est bizarre, c'est qu'il marchait dans mon précédant freeradius. J'ai refais les mêmes config mais en vain. Tu peux m'aider stp!!
j'ai décommenté un utilisateur dans users pour faire le test et j'ai configuré clients.conf comme d'hab! Alors où est le problème? l'authentification avec eap est activé par defaut.

leslie45 · Answer

eh ho!! Jak est toujours là? vais refaire l'installation pour voir?

Jakscoreur74 · Answer

Re Bonjour vous deux :)
Ah ça tourne autour du snmp.conf à ce que je vois :)
 Mauvaise nouvelle pour toi Leslie, ton soucis ne viens pas de là.
J'ai fais quelques test et ai remarqué qu'en fonction de ta machine, tu ne peux pas utiliser ldap et file en même temps (en fait tu peux mais c'est peu stable). je pense donc que dans tous les cas tes utilisateurs dans USERS seront rejetés

 Grâce à ton log de démarrage, j'ai constaté qu'il n'y avait pas de soucis (à première vue du moins). Ce qu'il me faut maintenant c'est les logs de ton FreeRADIUS au moment du radtest :) Tu peux si tu le souhaites et pour ne pas t'embêter, ouvrir un deuxième terminal et y taper #tail -f /var/log/freeradius/radius.log
Copie moi alors les informations sur cette fenêtre au moment du radtest s'il te plais :)

Usbeth,
Tu es sûr que ton radius ne démarre pas sans ce fichier "snmp.conf" ? moi il n'est tout simplemet pas présent et tout à l'air de fonctionner :-/
Le soucis n'est peut être pas ici ?

leslie45 · Answer

je suis sur le serveur de notre université donc, j'ai pas accès à 2 terminal, j'utilise putty, est-ce que je peux le faire dans le même terminal?
ne part pas encore, ok!!

gauste17 · Answer

Bonjour, 

J'ai une question aujourd'hui sur un sujet semblable :

https://forums.commentcamarche.net/forum/affich-30785074-portail-captif-sans-authentification-sans-internet-freeradius

Merci

Configuration de freeradius sous debian

22 réponses

Discussions similaires

Newsletters