Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeraduis eap tls Zertifikatsproblem oder Falsche Configs?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: bamboochaaa

bamboochaaa (Level 1) - Jetzt verbinden

16.09.2013, aktualisiert 17.09.2013, 2316 Aufrufe, 14 Kommentare

Hallo habe eine Problem mit freeradius und hoffe jemand kann mir hier ein paar Tips geben.

Aufbau:

Alcatel Switch mit Vlan10 Voice und VLAN 1 Data , die IP Telefone sollen sich per EAP-tls am freeradius authentifizieren und dann das VLAN 10 zugewiesen bekommen.

Betriebsystem ist Debian 7.1 mit dem dazugehörigen freeradius paket

Trage ich in der User Konfig einen user mit "cleartext" Passwort funktioniert das ganze auch ....

Ändere ich die /etc/freeradius/users.conf wie folgt ab:
"ALCIPT" Auth-Type := EAP, User-Password =="Password" 
                Xylan-Auth-Group = 10
funktioniert dies nicht mehr. Mit freeradius -X bekomme ich diese Meldung:
ad_recv: Access-Request packet from host 192.168.1.251 port 1053, id=241, length=1250 
	User-Name = "ALCIPT" 
	NAS-IP-Address = 192.168.1.251 
	State = 0x4fa035f24ba5384d541966e42784972a 
	NAS-Port = 1013 
	NAS-Port-Type = Ethernet 
	Calling-Station-Id = "00809fb143a6" 
	EAP-Message = 0x020504720d8000000468160301031a0b0003160003130003103082030c308201f6a00302010202103a51919bbe5a7e7b0da64f31d234818f300b06092a864886f70d0101053055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f72697479311530130603550403130c57697265642050686f6e6573301e170d3131303830333036333631345a170d3331303830333036333631345a3055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f7269747931 
	EAP-Message = 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 
	EAP-Message = 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 
	EAP-Message = 0x3de80a64c08c912d723bae7f597d2aeb0b940aa1ffed05db5251bc61a1f21b597ca97a3f59a4ceef82883357bf3be1aeec1f160301008610000082008002739157f1b421b74dc9dd31e7b93f2b64a2bf5ae1ed360d26334eaa7beac3e9b746c37b5037a13a36e138cb2d6a3429f2fc70df039b498eea3e8762cc0b72b58b261db454c616e53c82ae0f2d66cabbeb30046a2831ecb353ec300eb5631d33b178d81e21b11dc9af4f8cd3c52ca9d59cced8bf8a00273bb38b8c537b907edf16030100860f0000820080381dd6e03be5bf2b85ab398b0e1a7ccb74d757372796307b2a2092803dbaf86bc208a9f3ad9136b6ee50e709d230861f7868850a89 
	EAP-Message = 0x46e428e0d40994eab0d822ec8f3e243df9a338ef047e710b88fb5be0319bae7128c5d4acd8386e4e619b855f246e34ef65221c3778e21868016b033e647a835f1c2053fee7bff9312e258f1403010001011603010028dc0ce5015697c2c7c7aa88b97259d0bc89cbe85c844bc6fef5ae2d88ffc0cbb3fcbf2066186ab0e7 
	Message-Authenticator = 0x7a127f852e05c34e2a79a20b57061a31 
	Service-Type = Framed-User 
# Executing section authorize from file /etc/freeradius/sites-enabled/default 
+- entering group authorize {...} 
++[preprocess] returns ok 
++[chap] returns noop 
++[mschap] returns noop 
++[digest] returns noop 
[suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL 
[suffix] No such realm "NULL" 
++[suffix] returns noop 
[eap] EAP packet type response id 5 length 253 
[eap] No EAP Start, assuming it's an on-going EAP conversation 
++[eap] returns updated 
WARNING: Found User-Password == "...". 
WARNING: Are you sure you don't mean Cleartext-Password? 
WARNING: See "man rlm_pap" for more information. 
[files] users: Matched entry ALCIPT at line 114 
++[files] returns ok 
++[expiration] returns noop 
++[logintime] returns noop 
++[pap] returns noop 
Found Auth-Type = EAP 
# Executing group from file /etc/freeradius/sites-enabled/default 
+- entering group authenticate {...} 
[eap] Request found, released from the list 
[eap] EAP/tls 
[eap] processing type tls 
[tls] Authenticate 
[tls] processing EAP-TLS 
  TLS Length 1128 
[tls] Length Included 
[tls] eaptls_verify returned 11  
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate   
--> verify error:num=20:unable to get local issuer certificate  
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca   
TLS Alert write:fatal:unknown CA 
    TLS_accept: error in SSLv3 read client certificate B 
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned 
SSL: SSL_read failed in a system call (-1), TLS session fails. 
TLS receive handshake failed during operation 
[tls] eaptls_process returned 4  
[eap] Handler failed in EAP/tls 
[eap] Failed in EAP select 
++[eap] returns invalid 
Failed to authenticate the user. 
Using Post-Auth-Type Reject 
# Executing group from file /etc/freeradius/sites-enabled/default 
+- entering group REJECT {...} 
[attr_filter.access_reject] 	expand: %{User-Name} -> ALCIPT 
attr_filter: Matched entry DEFAULT at line 11 
++[attr_filter.access_reject] returns updated 
Delaying reject of request 5 for 1 seconds 
Going to the next request 
Waking up in 0.9 seconds. 
Sending delayed reject for request 5 
Sending Access-Reject of id 241 to 192.168.1.251 port 1053 
	EAP-Message = 0x04050004 
	Message-Authenticator = 0x00000000000000000000000000000000 
Waking up in 2.7 seconds. 
Cleaning up request 0 ID 236 with timestamp +32
am Ende wird der Access abgelehnt.

Verwirrt bin ich über diese beiden Meldungen:
suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL 
[suffix] No such realm "NULL"
und
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate   
--> verify error:num=20:unable to get local issuer certificate  
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca   
TLS Alert write:fatal:unknown CA 
    TLS_accept: error in SSLv3 read client certificate B 
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned 
SSL: SSL_read failed in a system call (-1), TLS session fails.
Sieht für mich so aus als wäre es ein Zertifikatsproblem ......
Da ich kein Linux Guru bin sondern von der TK.System Seite komme, hab ich es wie in dieser Anleitung beschrieben folgende Befehle ausgeführt:
cd /etc/freeradius 
mkdir certs 
cd certs 
mkdir CA 
cd CA 
mkdir certs 
mkdir crl 
mkdir newcerts 
mkdir private 
mkdir users 
echo '01' > serial 
touch index.txt 
cp /etc/ssl/openssl.cnf openssl.cnf
Jetzt kommen die Zertifikate was aber genau jeder dieser Befehle macht kann ich nicht sagen
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 1095 – config openssl.cnf 
 
openssl pkcs12 -export -in cacert.pem -inkey private/cakey.pem -out caroot.p12 -cacerts -descert 
 
openssl pkcs12 -in caroot.p12 -out caroot.pem 
 
openssl req -nodes -new -x509 -keyout radius-req.pem -out 
radius-req.pem -days 730 -config openssl.cnf 
 
openssl x509 -x509toreq -in radius-req.pem -signkey radius-req.pem -out radius-tmp.pem 
 
openssl ca -config openssl.cnf -policy policy_anything -out 
radius-cert.pem -infiles radius-tmp.pem 
 
openssl dhparam -out dh1024.pem 1024
Bei allen Passwort Abfragen habe ich das selbe Passwort benutzt.

Die Zertifikate der IP Telefone habe ich wie in der Anleitung beschrieben nach /etc/freeradius/certs/CA/ kopiert und diesen Befehl ausgeführt:
cat /etc/freeradius/certs/CA/cacert.pem AIPT_BASE64/aipt*.pem 
Alcatel\ Enterprise\ Solutions.pem Alcatel\ IP\ Touch.pem >> 
/etc/freeradius/certs/CA/cacerts.pem
Änderung in der /etc/freeradius/eap.conf :
tls { 
certdir = ${confdir}/certs 
cadir = ${confdir}/certs 
private_key_file = ${certdir}/CA/radius-req.pem 
certificate_file = ${certdir}/CA/radius-cert.pem 
CA_file = ${certdir}/CA/cacerts.pem 
dh_file = ${certdir}/CA/dh1024.pem 
random_file = ${certdir}/CA/dh1024.pem 
cipher_list = "DEFAULT" 
make_cert_command = "${certdir}/bootstrap" 
}
Falls jemand den Fehler sieht oder Tips zur Fehlesuche beisteuern kann wäre ich echt dankbar.

Eventuell findet sich ja auch jemand der mir die Zertifikatsbefehle etwas erläutern kann ......

Hier im Forum gibt's es eine Anleitung zum Thema freeradius und Wlan leider konnte sie mir an dieser stelle auch nicht weiter helfen

Mit freundlichen Grüßen Bamboochaaa
Mitglied: aqui
17.09.2013 um 09:36 Uhr
Es gibt auch eine Anleitung für LAN Switches und 802.1x !!
Die hast du gelesen ?? Sie beschreibt die Einrichtung im Detail !!
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Den Realm error kannst du ignorieren aber nicht den Zertifikats Error !
Der Radius findet in der Tat das Zertifikat nicht !! Da stimmen deinen Pfade also nicht.
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 18:51 Uhr
Ja den habe ich gelesen ich nutze aber Debian 7.1 mit dazugehöriges paket da heißen die Dateien etwas anders ich werde nochmal die configs durch schauen und dann die Zertifikate neu erstellen ........mal sehen ob es dann

Was ich aber noch nicht verstehe mein user sieht so aus:


"ALCIPT" Auth-Type := EAP, User-Password =="Password"
Xylan-Auth-Group = 10

in der users aus der guide gibt es aber nur solche einträge:

"User" Cleartext-Password := "user"

Noch eine andere Frage bei der Zertifikat Erstellung wird oft der Zusatz -config openssl.cnf verwendet wenn jetzt in der openssl.cnf falsche Einstellungen sind ist dann das ganze Zertifikat falsch ?
Bitte warten ..
Mitglied: aqui
17.09.2013 um 18:56 Uhr
Eigentlich kann das nicht sein ! Die Anleitung basiert auf einem Wheezy !
Die Auth Group 10 ist komisch. Ist mir im Radius Bereich noch nicht untergekomme. Hast du das denn nicht eingerichtet ??
Für 802.1x ist das auf alle Fälle falsch !
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 19:14 Uhr
Ich habe Debian installiert dann dies freeradius source paket von http://packages.debian.org/unstable/net/freeradius heruntergeladen und mit dpkg-source -x *.dsc extrahiert so wies in meiner Anleitung stand ......

Xylan-Auth-Group = 10 bedeutet das dem port bei erfolgreicher Authentifizierung das vlan 10 zugewiesen wird dieses Attribut ist für den Alcatel Omniswitch an dem das IP Telefon angeschlossen wird
Bitte warten ..
Mitglied: aqui
19.09.2013 um 19:34 Uhr
Schon komisch, denn das ist bar jeglichen Standards. Für standard 802.1x sieht das so aus wie im Tutorial beschrieben.
Der Omniswitch scheint dann da nicht standardkonform zu sen wenn das über ein Vendor specific Attribute geht ?!
Bitte warten ..
Mitglied: bamboochaaa
21.09.2013 um 13:21 Uhr
Ja das scheint ein Eintrage extra für den Omniswitch zu sein.

Das ganze habe ich nach dieser Anleitung eingerichtet:

http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html
Bitte warten ..
Mitglied: Gamerfreund
16.01.2015 um 15:15 Uhr
Hallo,
ich versuche auch gerade, Alcatel Telephone mit 802.1x zu authentifizieren, mir fehlt aber ein Zertifikat

~~~~~~
Certificates provided by Alcatel-Lucent contain only public keys:
...
•aipt[1-8].pem

~~~~~~

Kann mir jemand sagen, was ich das (die?) Certs aipt[1-8].pem herbekomme? Hab das gesamte Internet abgegrast - ohne Erfolg.

Danke!


/Gamerfreund
Bitte warten ..
Mitglied: aqui
16.01.2015, aktualisiert um 20:23 Uhr
Das bekommst du wie immer problemlos über den Hersteller der Telefone. Frag also den oder das Systemhaus das dir diese verkauft hat !
Ist aber schon unüblich und auch komisch, denn du müsstest ja bei den zertifikaten jemand Fremden vertrauen. Das konterkariert eigentlich das gesamte Sicherheitskonzept.
Alle Telefone am Markt lassen einen eigenen Zertifikats Import zu sei es über GUI, TFTP oder den Call Manager beim Booten.
Das solltest du nochmal genauestens nachfragen ob das stimmt. Kann man eigentlich nicht glauben...
Bitte warten ..
Mitglied: Gamerfreund
17.01.2015 um 12:52 Uhr
Hey aqui,
du hast völlig recht, eigene certs wären natürlich besser..andererseits landen die im voice vlan und das ist stark eingeschränkt. Würds halt gern erstmal ans laufen kriegen und ärgere mich das mir das cert fehlt...
Bitte warten ..
Mitglied: aqui
17.01.2015 um 20:55 Uhr
andererseits landen die im voice vlan und das ist stark eingeschränkt.
Ahem...was hat das jetzt mit der Frage zu tun ?! Verwirrung ?

Bastel dir doch selber eins. OpenSSL ist wie immer dein Freund
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 10:09 Uhr
sind das nicht irgendwelche Alcatel Intermediate Zertifikate? Wie kann ich mir die basteln; wurden die nicht von der Root CA incl. private key ausgestellt? Wie geagt, die Idee wäre, die Alcatel Certs erstmal auf den Telefonen zu lassen (und das zurecht von dir angesprochene Security Risiko vorerst zu ignorieren.)
Bitte warten ..
Mitglied: aqui
19.01.2015 um 14:32 Uhr
Wenn das einzig nur mit Alcatel Certs geht hast du keinen Chance. Wäre aber sehr sehr ungewöhnlich, denn dann müsstest du Alcatel blind vertrauen...kein Mensch macht das im Kryptobereich sich Zerts von Fremden genieren zu lassen !
Ist so wenn du dir Zertifikate von der NSA machen lässt und die dir sagt das nur ihre auf deinen rechnern laufen....
Das kann niemals stimmen, denn es konterkariert den Sinn (und Unsinn) von Zertifikaten.
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 15:18 Uhr
wie gesagt, ich verstehe deine Bedenken zu 1000%. Um die allgemeine Funktionalität der gesamten 802.1x Infrastruktur zu testen, wäre es aber zwischenzeitlich eine angenehme Lösung. Vielleicht hab ich auch die Anleitung (http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html) nicht verstanden, denn genau das wird doch da beschrieben,oder nicht?
Bitte warten ..
Mitglied: aqui
19.01.2015, aktualisiert um 16:51 Uhr
Fazit also: Hotline bei deiner nächstegelgenen Alcatel Geschäftsstelle anrufen und sich die Zerts zumailen lassen

P.S.: Dein Link oben führt zu einer weissen und leeren Webseite !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Server 2008R2 IIS Zertifikatsproblem

Frage von Alchemy zum Thema Windows Server ...

E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

Vmware
SSL TLS Fehler Veeam VMware (3)

Information von hagerino zum Thema Vmware ...

Windows Server
gelöst Seit Zeitverschiebung falsche Zeit in Domäne (4)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...