Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fehlende Konfigurationsinformationen zu RADIUS-Servern

Frage Sicherheit Sicherheits-Tools

Mitglied: Chulo01

Chulo01 (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 06.04.2009, 8481 Aufrufe, 10 Kommentare

Guten Morgen,

ich habe den Auftrag in meiner Firma einen RADIUS-Server aufzustellen um die Sicherheit über WLAN zu erhöhen.
Jetzt war ich schon mehrere Tage damit beschäftigt mir alle möglichen Theorien und Anleitungen durchzulesen.
Dabei habe ich festgestellt, dass der "freeradius" sehr effektiv und variabel einstellbar ist.
Leider habe ich keine Anleitung gefunden, die mir einen ordentlichen Überblick über mein Problemfall gibt.

RADIUS-Server für die Gegenauthentfizierung unserer WLAN-Hotspots mit Anbindung an einen LDAP.
Server: SLES 10.2

Der Server ist installiert. Ich habe mir auch so gut wie alles aufmerksam durchgelesen(ist wirklich viel), aber habe nicht den Zusammenhang aller Teile verstanden.

Wie Authentifizieren sich die Windows-Workstation-User an dem Access-Point:
Brauche ich dafür Zertifikate, geht das über ein Login oder gar beides?

Die Points die ich verwende geben die Möglichkeit "WPA with Radius" zu verwenden. Dementsprechend fehlt aber dann auf dem Point der Eintragungsbereich des Passphrases für den WPA-Key.
Wo kann ich denn den Key im RADIUS-Server eintragen?

Für die LDAP-Einbindung habe ich leider nichts richtiges gefunden. Hat da jemand einen Tipp für mich wie die config ausschauen soll?

Es kommen später sicher noch mehr Fragen auf.

Vielen Dank im Vorraus

Chulo
Mitglied: dog
24.02.2009 um 14:03 Uhr
Wie Authentifizieren sich die Windows-Workstation-User an dem Access-Point:
Brauche ich dafür Zertifikate, geht das über ein Login oder gar beides?

Tja, das ganze ist etwas kompliziert - etwas sehr viel mehr als es hätte sein können ;)
Spaß bei Seite. Wenn du WLAN mit RADIUS benutzen willst geht die Authentifizierung am Access Point über die 802.1X Technik.
Windows kann von Haus aus drei Methoden um sich über diese Technik zu authentifizieren: PEAP mit MSCHAP v2, Smartcard oder Computerzertifikate.

Unabhängig davon erfordert die Verwendung aller drei Methoden aber, dass dein RADIUS-Server ein Zertifikat besitzt, was er an die Clients schickt - diese wiederum müssen entscheiden ob sie die Verbindung mit diesem Zertifikat annehmen oder nicht.

Nun kannst du dich noch zwischen den drei Authentifizierungsmethoden entscheiden, wobei die erste beim Login die Eingabe eines Benutzernamens/Passwort erfordert und die anderen über die gegenseitige Prüfung von Zertifikaten laufen.

Dementsprechend fehlt aber dann auf dem Point der Eintragungsbereich des Passphrases für den WPA-Key.
Wo kann ich denn den Key im RADIUS-Server eintragen?

Wenn du den oberen Absatz genau gelesen hast, ist dir sicher bereits aufgefallen, dass es bei 802.1x keine Passphrases mehr gibt. Die Authentifizierung übernimmt jetzt nicht mehr der AP sondern der RADIUS-Server im HIntergrund. Der AP schaut lediglich zu und entscheidet dann, ob er den Port aufmacht oder nicht.
Und am RADIUS-Server musst du eben eins der drei obigen Authentifikationsschemen auswählen.

Der RADIUS-Server selbst kann die Daten wiederum gegen sein Backend prüfen, was z.B. eine LDAP-Datenbank sein kann. Zu den Details unter Linux kann ich dir aber nichts sagen...

Grüße

Max
Bitte warten ..
Mitglied: Chulo01
24.02.2009 um 15:17 Uhr
Ok. Vielen Dank für die schnelle Antwort!
Das mit dem Passphrase hab ich wohl überlesen und schon überall gesucht, das wäre damit schon gelöst.
Ich probiere die Variante mit dem PEAP MSCHAP v2.

In der Anleitung der freeradius-discription steht folgender link der mir erst gerade eben aufgefallen ist.
Er beinhaltet eine sehr übersichtliche Anleitung für EAP-TLS sowie für PEAP.
dslreports.com
PEAP wird hier unter Punkt 7 aufgeführt. Sind das alle Einstellungen die zu tätigen wären auf dem Radius-Server?
Bitte warten ..
Mitglied: Chulo01
26.02.2009 um 17:40 Uhr
Nun habe ich meine Testumgebung komplett aufgebaut
AP Netgear WG302 eingerichtet
eap.conf konfiguriert (PEAP)
radiusd.conf konfiguriert (kleine Veränderungen)
users zum test an einem user-desktop konfiguriert (user rudimentär angelegt)
clients.conf konfiguriert (AP angelegt)

Problem ist, dass der User/Windows-Workstation keinen Zugriff auf das Netz bekommt.

Bilder der Config auf imageshack.us
Netgear Auszug der Radius-Server-Settings
Netgear Auszug des Security Profils

Auszüge aus der eap.conf (etwas verkürzt kopiert, damit der ganze Info-Text hier nicht alles wegspamt. nur die Aktiven Sachen reinkopiert)

01.
eap { 
02.
		default_eap_type = peap 
03.
		timer_expire     = 60 
04.
	tls { 
05.
		private_key_password = bootybay  
06.
		private_key_file = ${raddbdir}/certs/cert-srv.pem 
07.
		certificate_file = ${raddbdir}/certs/cert-srv.pem 
08.
 
09.
			#  Trusted Root CA list 
10.
		CA_file = ${raddbdir}/certs/demoCA/cacert.pem 
11.
 
12.
		dh_file = ${raddbdir}/certs/dh 
13.
		random_file = ${raddbdir}/certs/random 
14.
15.
	peap { 
16.
	default_eap_type = mschapv2 
17.
18.
	mschapv2 { 
19.
20.
}
Ich bin mir nicht sicher, ob ich in der eap.conf etwas falsch gemacht habe. Sobald ich versuche mich mit dem Clienten auf dem Point zu verbinden kommt auf dem Point lediglich die Aussage "WLAN0: Station 00:0E:35:D2:27:5F associated."

Hat jemand vielleicht einen Tipp für mich?
Muss ich generic tokens verwenden?

lg

Chulo
Bitte warten ..
Mitglied: dog
01.03.2009 um 01:58 Uhr
Wenn du unter Windows zu einem RADIUS-Netzwerk einfach nur "Verbinden" wählst geht das du 98% daneben.
Damit sich Windows richtig verbinden kann musst du das Netzwerk unter Windows manuell konfigurieren.
Sprich im WLAN-Dialog neues Netzwerk hinzufügen, SSID angeben, (Firmenweites) WPA mit TKIP auswählen.
Dabei musst du im Authentifizierung-Tab EAP oder so auswählen (grade kein Windows Rechner da) - jedenfalls nicht "Smartcard".
Dann klickst du auf Eingschaften. Dort hakst du "Serverzertifikat prüfen" ab.
Dort musst du auch nochmal im Dropdown "Sicheres Kennwort" auswählen und auf Konfigurieren... klicken und dort "Eigene Windows-Anmeldedaten verwenden" deaktivieren.

Erst jetzt kannst du dich mit dem Netz verbinden. Dann wird nach einiger Zeit eine kleine Info-Bubble kommen, die sagt "Es sind weiter Anmeldedaten" erforderlich. Wenn du dort draufklickst wirst du nach deinem Benutzernamen/Kennwort gefragt...

Grüße

Max
Bitte warten ..
Mitglied: Chulo01
28.03.2009 um 16:13 Uhr
Ich musste leider zwangsweise eine Pause einlegen. Danke für die Antwort. Ich hoffe ich habe alles richtig eingestellt. bei mir gibts eine Fehlermeldung, die ich nicht lösen kann. Ich vermute dass die Zertifikate selber dahinter stecken oder ich in der eap.conf etwas falsch eingestellt habe.

01.
	eap { 
02.
		default_eap_type = peap  
03.
		timer_expire     = 60 
04.
		ignore_unknown_eap_types = no 
05.
		cisco_accounting_username_bug = no 
06.
		md5 { 
07.
08.
		leap { 
09.
10.
		gtc { 
11.
			#challenge = "Password: " 
12.
			auth_type = PAP 
13.
14.
		tls { 
15.
			private_key_password = qwertz  
16.
			private_key_file = ${raddbdir}/certs/servercert.pem 
17.
			certificate_file = ${raddbdir}/certs/servercert.pem 
18.
			CA_file = ${raddbdir}/certs/demoCA/cacert.pem 
19.
			dh_file = ${raddbdir}/certs/dh 
20.
			random_file = ${raddbdir}/certs/random 
21.
			fragment_size = 1024 
22.
			include_length = yes 
23.
		#	check_crl = yes 
24.
		#       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
25.
		#	check_cert_cn = %{User-Name} 
26.
		#	cipher_list = "DEFAULT" 
27.
28.
		#ttls { 
29.
		#	default_eap_type = md5 
30.
		#	copy_request_to_tunnel = no 
31.
		#	use_tunneled_reply = no 
32.
		#} 
33.
		peap { 
34.
			default_eap_type = mschapv2 
35.
		#	copy_request_to_tunnel = no 
36.
		#	use_tunneled_reply = no 
37.
	    	#	proxy_tunneled_request_as_eap = yes 
38.
39.
		mschapv2 { 
40.
41.
	}
seit dem ich von md5 auf peap umgestellt habe trtitt bei mir folgender Fehler beim ausführen des debug-test modes -X auf:

01.
rlm_eap_tls: Loading the certificate file as a chain 
02.
rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory 
03.
rlm_eap_tls: Error reading Trusted root CA list 
04.
rlm_eap: Failed to initialize type tls 
05.
radiusd.conf[1]: eap: Module instantiation failed. 
06.
radiusd.conf[1939] Unknown module "eap". 
07.
radiusd.conf[1886] Failed to parse authenticate section.
Im Netz finden sich verschiedene Antworten, die sich aber so gut wie alle ausschließen lassen.

lg

Steph
Bitte warten ..
Mitglied: dog
28.03.2009 um 17:14 Uhr
rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory

Das kann zweierlei bedeuten:

a) Eine deiner angegebenen Dateien wurde nicht gefunden

b) Eines der Systemlibraries gegen das FreeRADIUS dynamisch gelinkt wurde, wurde nicht gefunden.
Dieses Problem ist besonders diffizil, weil man es u.U. nicht direkt sieht. Ich hatte z.B. mit OpenSSL schon häufiger das Problem, dass es direkt nach dem build problemlos ging, aber als danach einige Umgebungsvariablen gefehlt haben ging es plötzlich nicht mehr.

Wie hast du freeradius installiert? Von Hand oder per Paketmanager?
Wie startest du freeradius? Aus deiner Sitzung herraus oder beim Systemstart?

Grüße

Max
Bitte warten ..
Mitglied: Chulo01
28.03.2009 um 18:54 Uhr
Ich habe den Radiusserver über den Paketmanager installiert. (in vielen Anleitungen wird es mit make, make install usw gemacht)
Den Radiusserver starte ich über die Sitzung heraus.

Ohje, wie hast du es gelöst?
Ich hab nochmal im Paketmanager nachgeschlagen ob es weitere Libraries gibt, die ich installieren kann, aber da ist nichts vorhanden. Lediglich der Radiusserver und noch ein Client(den ich nicht brauche).

lg

Steph
Bitte warten ..
Mitglied: Chulo01
14.04.2009 um 16:17 Uhr
Ok.
Ich habe den Server nochmal neu aufgesetzt, nachdem ich ein paar Flüchtigkeitsfehler eingebaut hatte..
Die Zertifizierung ging ich nochmal an und funktioniert jetzt ordentlich, wie sie sollte.
Ich erhalte beim Connecten über einen Client noch ein paar nette Logs.

Wenn ich das richtig interpretiere funktioniert es. " rlm_eap_peap: EAPTLS_HANDLED "
Der Client ist dennoch nicht verbunden.

Wie man hieran sieht: " Sending Access-Challenge of id 49 to 192.168.62.49 port 1046 ", sendet der Server den Access über den Port 1046.
Hat das seine Richtigkeit? Ich dachte es läuft alles über 1812 / 1813?

01.
Waking up in 1 seconds... 
02.
rad_recv: Access-Request packet from host 192.168.62.49:1046, id=49, length=160 
03.
        User-Name = "radiustest\\seufert" 
04.
        NAS-IP-Address = 192.168.62.49 
05.
        Connect-Info = "CONNECT 802.11" 
06.
        Called-Station-Id = "00095bb73678" 
07.
        Calling-Station-Id = "00166f3c5cea" 
08.
        NAS-Identifier = "ap" 
09.
        NAS-Port-Type = Wireless-802.11 
10.
        NAS-Port = 14 
11.
        NAS-Port-Id = "14" 
12.
        Framed-MTU = 1400 
13.
        State = 0xcd322051f084077dcc092e9f35be1fab 
14.
        EAP-Message = 0x020400061900 
15.
        Message-Authenticator = 0x0fca32d4d7ace2726d6ce248b355f8cf 
16.
  Processing the authorize section of radiusd.conf 
17.
modcall: entering group authorize for request 12 
18.
  modcall[authorize]: module "preprocess" returns ok for request 12 
19.
  modcall[authorize]: module "chap" returns noop for request 12 
20.
  modcall[authorize]: module "mschap" returns noop for request 12 
21.
    rlm_realm: No '@' in User-Name = "radiustest\seufert", looking up realm NULL 
22.
    rlm_realm: No such realm "NULL" 
23.
  modcall[authorize]: module "suffix" returns noop for request 12 
24.
  rlm_eap: EAP packet type response id 4 length 6 
25.
  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation 
26.
  modcall[authorize]: module "eap" returns updated for request 12 
27.
  modcall[authorize]: module "files" returns notfound for request 12 
28.
modcall: leaving group authorize (returns updated) for request 12 
29.
  rad_check_password:  Found Auth-Type EAP 
30.
auth: type "EAP" 
31.
  Processing the authenticate section of radiusd.conf 
32.
modcall: entering group authenticate for request 12 
33.
  rlm_eap: Request found, released from the list 
34.
  rlm_eap: EAP/peap 
35.
  rlm_eap: processing type peap 
36.
  rlm_eap_peap: Authenticate 
37.
  rlm_eap_tls: processing TLS 
38.
rlm_eap_tls: Received EAP-TLS ACK message 
39.
  rlm_eap_tls: ack handshake fragment handler 
40.
  eaptls_verify returned 1 
41.
  eaptls_process returned 13 
42.
  rlm_eap_peap: EAPTLS_HANDLED 
43.
  modcall[authenticate]: module "eap" returns handled for request 12 
44.
modcall: leaving group authenticate (returns handled) for request 12 
45.
Sending Access-Challenge of id 49 to 192.168.62.49 port 1046 
46.
        EAP-Message = 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 
47.
        EAP-Message = 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 
48.
        EAP-Message = 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 
49.
        Message-Authenticator = 0x00000000000000000000000000000000 
50.
        State = 0x26505ca4b61ff6e84a35e8a1f22237cf 
51.
Finished request 12
lg

Steph
Bitte warten ..
Mitglied: dog
14.04.2009 um 22:07 Uhr
1046 ist lediglich der Anfrageport des Clients (du brauchst immer zwei Ports: Den von dem die Anfrage kommt und den auf den sie geht). Dieser Port ist komplett zufällig und hat nichts weiter zu bedeuten.

Dein Problem könnte hier:

rlm_realm: No '@' in User-Name = "radiustest\seufert", looking up realm NULL
rlm_realm: No such realm "NULL"

oder hier

eaptls_verify returned 1
eaptls_process returned 13

liegen.
Mehr kann ich dir dazu aber auch nicht sagen, weil ich mit mit freeRadius eben nicht auskenne.

Vielleicht hilft dir aber:

I set "nastype = other" in the clients.conf file as per an example I saw from someone using the same WAP, and it started working after restarting Radius.

Grüße

Max
Bitte warten ..
Mitglied: Chulo01
16.04.2009 um 11:03 Uhr
Ok. Vielen Dank für die guten Informationen, Mühe und Tipps Max aka Dog.

Das Problem war wie du beschrieben hast das was da steht. Die perfekte Lösung gabs auch gleich noch dazu. Einfach Klasse.
Nachdem ich noch einige weitere kleine Konfigurationsprobleme gelöst hatte, geht der Server jetzt.
Windows-User können sich nun mit Eingabe Ihrer Daten anmelden.
Somit habe ich jetzt meinen ersten Radiusserver aufgesetzt.

Ich binde das ganze noch an den LDAP an und hoffe es klappt auch dann noch.

lg

Steph
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Server-Hardware
Fehlende treiber auf Physischer Maschine (Server 2012R2) (2)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...