ria-ingo
Apr 10, 2013
view1941
view4
1
Goto Top

Monowall Captive Login mit Freeradius

GermansolvedQuestionLAN, WAN, WirelessNetworks
Hallo zusammen,

ich versuche seit einiger Zeit eine Authentifizierung eines monowall Captive Logins an einen Freeradius Server.

Eine Captive Anmeldung an eine lokale Monowall UserDB funktoniert. Dann wurde auf Radius umgestellt. die Einstellungen blieben default.

Freeradius wurde gemäß Anleitung so konfiguriert, das es mittels ntml_auth das Passwort an einen AD weiterreicht. dieses ist getestet und funktioniert.

Kommt nun ein Request von der Monowall rein, meldet der Radius, das kein Auth Typ vorhanden ist.
Die Auth Typen sind gemäß Anleitung aber gepflegt.Hat irgendwer so eine Konfiguration schon einmal ans Laufen bekommen und könnte mir vielleicht helfen P?

Vielen Dank im Voraus

Lg Ingo

Ready to process requests.
rad_recv: Access-Request packet from host 10.xx.xx.68 port 43451, id=217, length=138
NAS-IP-Address = 0.0.0.0
NAS-Identifier = "mono.company.local"  
User-Name = "<user>"  
User-Password = "<password>"  
Service-Type = Login-User
NAS-Port-Type = Ethernet
NAS-Port = 0
Framed-IP-Address = 192.168.0.254
Called-Station-Id = "00:0c:29:40:37:63"  
Calling-Station-Id = "00:0c:29:e3:66:4c"  
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
[ntlm_auth] expand: --username=%{mschap:User-Name} -> --username=<user>
[ntlm_auth] expand: --password=%{User-Password} -> --password=<password>
Exec-Program output: NT_STATUS_OK: Success (0x0) 
Exec-Program-Wait: plaintext: NT_STATUS_OK: Success (0x0) 
Exec-Program: returned: 0
++[ntlm_auth] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> <user>
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.3 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 217 to 10.49.40.68 port 43451
Waking up in 4.9 seconds.
Cleaning up request 0 ID 217 with timestamp +40
Ready to process requests.

/etc/freeradius/sites-enabled/default (ohne Kommentare)
authorize {

        ntlm_auth
        chap
        mschap
       digest
}

authenticate {

        Auth-Type ntlm_auth {
               ntlm_auth
}
    	Auth-Type PAP {
		       pap
}

	    Auth-Type CHAP {
		      chap
}
     	Auth-Type MS-CHAP {
		      mschap
}

	digest
	unix
	eap
    ntlm_auth

preacct {
	preprocess
	acct_unique
	suffix
}

accounting {

	detail
	unix
	radutmp
	exec
}


session {
	radutmp
}

post-auth {
	exec
	Post-Auth-Type REJECT {
		attr_filter.access_reject
	}
}


pre-proxy {

}

post-proxy {
	eap
}
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 204741

Url: https://administrator.de/contentid/204741

Printed on: April 20, 2024 at 11:04 o'clock

4 Comments
Latest comment
Goto Top
Member: aqui
aqui Apr 10, 2013, updated at May 15, 2023 at 14:29:54 (UTC)
Goto Top
Diese Tutorials dazu hast du gelesen ?:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Debian Linux in eine Active Directory Domäne integrieren
Wobei letztere beiden die AD Integration abhandeln...zusätzlich auch in den Kommentarthreads ?!
Member: RIA-Ingo
RIA-Ingo Apr 10, 2013 at 10:55:49 (UTC)
Goto Top
Ja vielen Dank, die Tutorials kenne ich und ich habe auch schon alle möglichen Reccourcen im Internet zu meinem Problem angefragt.

Das mein AD Connect funktioniert, sieht man ja (Bei falschen Passwort kommt auch die dementsprechende Fehlermeldung)

# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
[ntlm_auth] expand: --username=%{mschap:User-Name} -> --username=<user>
[ntlm_auth] expand: --password=%{User-Password} -> --password=<password>
Exec-Program output: NT_STATUS_OK: Success (0x0) 
Exec-Program-Wait: plaintext: NT_STATUS_OK: Success (0x0) 
Exec-Program: returned: 0
++[ntlm_auth] returns ok

Ich habe das so verstanden. Request kommt rein, ein Module aus der "authenticate Sektion" wird aufgerufen, und meldet ein Ergebnis zurück...
so weit so gut, aber was passiert dann ?

Ich denke, der Auth Typ wird auch anhand des Request Typs ausgewählt (macht ja Sinn in der gleichen "Sprache" zu antworten, wie der Request gekommen ist)
Und da benötige ich (Konfigurations) Hilfe, da ich nicht weiß, als was Monowall den Request schickt... MCAP, PAP ?
Member: RIA-Ingo
RIA-Ingo Apr 11, 2013 at 09:54:26 (UTC)
Goto Top
so ich habe den ganzen Kram jetzt deinstalliert und neu installiert.
Jetzt klappt es
Member: aqui
aqui Apr 12, 2013 at 11:15:04 (UTC)
Goto Top
Alles wird gut face-smile
GermansolvedQuestionLAN, WAN, WirelessNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment