Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Freeradius Abfrag mit Realm schlägt fehl.

Mitglied: dassven

dassven (Level 1) - Jetzt verbinden

03.09.2011, aktualisiert 18.10.2012, 3657 Aufrufe, 6 Kommentare

Der Freeradius macht nur teilweise Abfragen ohne Realm.

Hallo,

ich nutze den Freeradius und MySQL, um Authentifizierung, Authorisierung und Accountig von PPPoE einwahlen zu realisieren. Im MySQL ist ein User angelegt "admin.sven". Die passende Einwahl vom PPPoE Client lautet "admin.sven@domain.com". Ich habe einen Realm "domain.com" angelegt. Mit einen radtest von dem Benutzer "admin.sven@domain.com", welches der PPPoE Client auch benutzt, wird im Log angezeigt, dass der Realm abgeschnitten wird. Es wird auch nur in der DB abgefragt von dem Benutzer "admin.sven". Am Ende vom Log steht dann wieder, dass ber Benutzer "admin.sven@domain.com" nicht gefunden wurde. Am Anfang der Query Kette vom MySQL wird immer der User "admin.sven" abgerufen. weiter unten dann plötzlich der User "admin.sven@domain.com".
Kann mir jemand erklären, in welchem config File das versteckt ist ??

heraus kommen soll ein OK für die Authen....., Author....... und Accounting.

Hier sind noch die Logs vom RADDB & MySQL.

RADDB Log der Abfrage:
01.
rad_recv: Access-Request packet from host 127.0.0.1 port 47818, id=52, length=74 
02.
        User-Name = "admin.sven@domain.com" 
03.
        User-Password = "1234" 
04.
        NAS-IP-Address = 127.0.1.1 
05.
        NAS-Port = 1812 
06.
+- entering group authorize {...} 
07.
[preprocess]    expand: %{User-Name} -> admin.sven@domain.com 
08.
++[preprocess] returns ok 
09.
++[chap] returns noop 
10.
++[mschap] returns noop 
11.
[suffix] Looking up realm "domain.com" for User-Name = "admin.sven@domain.com" 
12.
[suffix] Found realm "domain.com" 
13.
[suffix] Adding Stripped-User-Name = "admin.sven" 
14.
[suffix] Adding Realm = "domain.com" 
15.
[suffix] Authentication realm is LOCAL. 
16.
++[suffix] returns ok 
17.
[eap] No EAP-Message, not doing EAP 
18.
++[eap] returns noop 
19.
[files] users: Matched entry DEFAULT at line 50 
20.
[files]         expand: /usr/local/bin/rmauth "%{NAS-IP-Address}" "%{User-Name}" "%{Calling-Station-Id}" -> /usr/local/bin/rmauth "127.0.1.1" "admin.sven@domain.com" "" 
21.
++[files] returns ok 
22.
[sql]   expand: %{Stripped-User-Name} -> admin.sven 
23.
[sql]   expand: %{%{Stripped-User-Name}:-%{%{User-Name}:-DEFAULT}} -> admin.sven 
24.
[sql] sql_set_user escaped user --> 'admin.sven' 
25.
rlm_sql (sql): Reserving sql socket id: 2 
26.
[sql]   expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'admin.sven'           ORDER BY id 
27.
[sql] User found in radcheck table 
28.
[sql]   expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'admin.sven'           ORDER BY id 
29.
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'admin.sven'           ORDER BY priority 
30.
rlm_sql (sql): Released sql socket id: 2 
31.
++[sql] returns ok 
32.
++[expiration] returns noop 
33.
++[logintime] returns noop 
34.
[pap] Found existing Auth-Type, not changing it. 
35.
++[pap] returns noop 
36.
Found Auth-Type = Local 
37.
WARNING: Please update your configuration, and remove 'Auth-Type = Local' 
38.
WARNING: Use the PAP or CHAP modules instead. 
39.
User-Password in the request is correct. 
40.
+- entering group session {...} 
41.
[sql]   expand: %{Stripped-User-Name} -> admin.sven 
42.
[sql]   expand: %{%{Stripped-User-Name}:-%{%{User-Name}:-DEFAULT}} -> admin.sven 
43.
[sql] sql_set_user escaped user --> 'admin.sven' 
44.
[sql]   expand: SELECT COUNT(*)                              FROM radacct                              WHERE username = '%{SQL-User-Name}'                              AND acctstoptime IS NULL -> SELECT COUNT(*)                              FROM radacct                              WHERE username = 'admin.sven'                              AND acctstoptime IS NULL 
45.
rlm_sql (sql): Reserving sql socket id: 1 
46.
rlm_sql (sql): Released sql socket id: 1 
47.
++[sql] returns ok 
48.
+- entering group post-auth {...} 
49.
Exec-Program output: Reply-Message="User not found!" 
50.
Exec-Program-Wait: value-pairs: Reply-Message="User not found!" 
51.
Exec-Program: returned: 1 
52.
[exec] Login incorrect (external check said so) 
53.
++[exec] returns reject 
54.
Using Post-Auth-Type Reject 
55.
+- entering group REJECT {...} 
56.
[attr_filter.access_reject]     expand: %{User-Name} -> admin.sven@domain.com 
57.
 attr_filter: Matched entry DEFAULT at line 11 
58.
++[attr_filter.access_reject] returns updated 
59.
Delaying reject of request 1 for 1 seconds 
60.
Going to the next request 
61.
Waking up in 0.9 seconds. 
62.
Sending delayed reject for request 1 
63.
Sending Access-Reject of id 52 to 127.0.0.1 port 47818 
64.
        Reply-Message = "User not found!"
LogFile vom MySQL bei der Abfrage:
01.
81 Query	SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'admin.sven'           ORDER BY id 
02.
81 Query	SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'admin.sven'           ORDER BY id 
03.
81 Query	SELECT groupname           FROM radusergroup           WHERE username = 'admin.sven'           ORDER BY priority 
04.
80 Query	SELECT COUNT(*)                              FROM radacct                              WHERE username = 'admin.sven'                              AND acctstoptime IS NULL 
05.
85 Connect	radius@localhost on radius 
06.
85 Query	SET NAMES 'utf8' 
07.
85 Query	SELECT disconnmethod, maclock FROM rm_settings 
08.
85 Query	SELECT type, ciscobwmode FROM nas WHERE nasname = '127.0.1.1' 
09.
85 Query	SELECT type, ciscobwmode FROM nas WHERE nasname = '127.0.1.1' 
10.
85 Query	SELECT downlimit, uplimit, comblimit, expiration, uptimelimit, enableuser, usemacauth, srvid, staticip, usestaticip, verified, selfreg, acctype, custattr FROM rm_users WHERE username = 'admin.sven@domain.com' 
11.
85 Query	SELECT lang FROM rm_settings 
12.
85 Quit
LG & Danke DS
Mitglied: Dani
04.09.2011, aktualisiert 18.10.2012
Moin Sven,
was ist nun der Unterschied zu diesem Beitrag.


Grüße,
Dani
Bitte warten ..
Mitglied: dassven
04.09.2011 um 17:54 Uhr
Hi Dani, Der Unterschied ist, dass ich in der Datenbankbank nur User anlege ohne den Ralm. also letztendlich ohne "@domain.com". ich dann das eigentliche Problem mit der URL in der APC nicht habe. Der Realm wird dann vom Benutzernamen gestrichen und es kommen anfragen nur vom ersten Teil des relevanten Benutzernamens. Scheine aber der einzige zu sein, der mittlerweile 8 oder 9 Lösungen in Angriff genommen hat, um das Problem zu lösen. Nachdem ich den Apache mit dem rewrite etc. den MySQL etc durchhabe, ist nur noch der Freeradius, der die Abfragen so umbauen kann, damit es funktioniert. Ich bin nur kreativ und denke über evtentuelle Lösungen nach, die mich voran bringen. Im Netz ist alles beschrieben, wie es funktioniert, und was man anwenden kann, Bin ja kein Linux Profi und hänge mmer an einem "kleinen Hacken", wo mir dann doch keiner weiter helfen kann.
Im Moment sieht es so aus, dass der Freeradius ein OK ausgibt für die Authentifizierung von Benutzer "123-12345-abx#001@domain.com", obwohl der Benutzer nur als "123-12345-abc" angelegt ist in der Datenbank.
Der Freeradius fragt die Authentifizierung ab, der User ist Online. Der Freeradius fragt dann aber plötzlich die Speed-Limit's, Trafficlimits mit dem vollständigen namen ab. Also mit Realm. Die Konfig ist aber zerstreut in einige Konfigurationsdateien, wo ich langsam die Zusammenhänge verliere.

Wenn also jemand die Konfig Files braucht, bin für jeden Kram bereit. Wenn es niemanden gibt, der ne Idee hat, ist das eigentlich auch nicht so schlimm. In anderen Foren siehts nicht anders aus. Leider.

MfG Sven
Bitte warten ..
Mitglied: exchange
04.09.2011 um 21:36 Uhr
Hallo Sven,
die Radius Abfragen stehen alle in einer sql Datei. Ich habe die damals auch für einen speziellen Zweck umgebaut und arbeite mit views in MySQL.

Wenn ich das richtig verstehe, funktioniert der Auth aber die übergebenen Werte nicht? Wenn ja, dann schaue Dir die Abfragen genau an, da steht bestimmt eine Funktion seitens Freeradius drin, welche alles hinter dem @ absägt.


Gruß
Heiko
Bitte warten ..
Mitglied: aqui
05.09.2011, aktualisiert 18.10.2012
Du kannst die Realm ignorieren lassen. Hier steht wie man das macht:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Bitte warten ..
Mitglied: dassven
06.09.2011 um 20:30 Uhr
Hallo, Ich glaub so nen hartnäckischen Typ wie mich gibts net. :D

Also, ich hab mal so alle SQL Files durch. Kein Erfolg, Aber mir ist was aufgefallen. Es handelt sich ja um eine "fertige" Software. Bin irgend wie über die Install gestolpert, und es werden ein paar ausführbare Dateien angelegt. Hätte ich im Log ja auch sehen können. Nur wenn man nicht drauf achtet, nunja Halt das Sympthom Wald & Bäume.
in der "users" wird ein "rmauth %{User-Name} %{nas} etc. angewiesen. Der Freeradius macht ja seine Abfrage mit dem "Stripped-User-Name". Dann kommt die Abfrage mit der "rmauth" und der übergabe vom %{User-Name}. Das ist natürlich der angegebene Username und nicht der Stripped. Bin schon einiges an variablen durchgegangen. %{SQL-User-Name} etc. nur da gabs keinen Erfolg. Hat jemand eine Ahnung, welche Variable man da nutzen muss, damit es der Stripped-User-Name" wird, der mit übergeben wird ??

Danke
Bitte warten ..
Mitglied: dassven
21.03.2012 um 07:23 Uhr
Zu diesem Thema fällt mir nichts mehr ein, Wer den Thread gelesen hat, ne zwischeninfo. Es ging um Authorisierung und Authentifizierung von PPPoE Geschichten. Problem bestand in dem "RadiusManager". Nach vielen Tests muss ich sagen, dass es doch ein verfrickeltes System ist. Zusätzliche ausführbare Files vom RadiusManager machen das ganze relativ konfigurationsuntauglich, wenn es um Realms geht. als Gegenlösung hab ich dazu eine kostenfreie Version gefunden mit Namen "DaloRadius". Arbeitet wunderbar, gaht aber ein wenig mehr in Administartive arbeit über (Man muss auch mal selber kleine Regeln erstellen). Als Netzwerkadmin sollte das mit Kenntnissen kein Problem sein.

in dem Sinne Good Luck mit den bits und bytes.
Bitte warten ..
Ähnliche Inhalte
Java

If abfrage Schlägt immer fehl (JAVA)

gelöst Frage von DomiZone1Java2 Kommentare

Hallo ich habe Folgendes Problem diese if abfrage Schlägt immer fehl obwohl ich Window 7 Habe kann mir jemand ...

Windows Installation

Windows Upgrade schlägt fehl

Frage von ratzekahlxWindows Installation11 Kommentare

Hallo zusammen, ich habe ein Problem, welches schon seit Tagen ungelöst ist. Simples Upgrade von Windows 7 auf Windows ...

Windows Tools

DotNet Installation schlägt fehl

gelöst Frage von emeriksWindows Tools1 Kommentar

Hi, Windows Server 2008 R2 SP1 Ich will/muss .Net auf min. 4.5 aktualisieren, weil eine Anwendung das erfordert. Egal, ...

Windows Server

RDS Installation schlägt fehl

gelöst Frage von mhard666Windows Server10 Kommentare

Hallo allerseits, ich schlage mich seit geraumer Zeit mit folgendem Problem herum: Ich versuche unter Server 2012R2 eine RDS-Umgebung ...

Neue Wissensbeiträge
Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 9 StundenServer-Hardware1 Kommentar

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Windows 10

Kumuative Updates für .NET Framework kommen für Windows 10 V1809

Information von kgborn vor 13 StundenWindows 10

Microsoft hat das Ganze im Beitrag Announcing Cumulative Updates for .NET Framework for Windows 10 October 2018 Update vorgestellt. ...

Sicherheit
Neue IT-Administrator Ausgabe - Endpoint Security
Information von Frank vor 14 StundenSicherheit

Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch ...

Windows Tools

Windows 10 BitLocker Laufwerkverschlüsselung ohne TPM-Chip

Anleitung von Frank vor 15 StundenWindows Tools4 Kommentare

Diese Anleitung zeigt, wie man die Windows BitLocker Laufwerkverschlüsselung ohne TPM-Chip Schritt für Schritt aktiviert. Zwar haben viele Laptops ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

Windows Server
Kann DNS-Einträge nicht finden
gelöst Frage von BPeterWindows Server19 Kommentare

Hallo, wenn ich folgenden Befehl absetze, bekomme ich eine Liste zurück mit allen Einträgen der DNS-Zone. Wenn ich aber ...

Voice over IP
Umstellung Anlagenanschluss ISDN auf IP - Welcher Router?
Frage von ToniSchmidtVoice over IP12 Kommentare

Hallo zusammen, zum Ende des Jahres werden unsere geliebten ISDN Anlagenanschlüsse zwangsweise auf IP Anschlüsse umgestellt. Wir betreiben die ...

Firewall
Externer Zugriff auf Webserver
Frage von KingLouieFirewall12 Kommentare

Hallo zusammen, ich habe folgendes Problem: Ein Kollege muss gelegentlich auf einen Webserver zugreiffen, sowohl von intern als auch ...