NAS на 3com 4500 с Free Radius

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Mikles
Junior member
Сообщения: 5
Зарегистрирован: 12 ноя 2006, 00:02
Откуда: SPb

NAS на 3com 4500 с Free Radius

Сообщение Mikles » 12 ноя 2006, 00:08

Есть NAS на свиче 3com 4500 с подключенным Free Radius.
Настройки 4500: подключены 3 типа портов - AUX. Eth и Eth c включенным 802.1X,
Для default domain включена radius-sceme на этом самом Free Radius,
для dot1x включена EAP MD5-challenge авторизация.
Результат: AUX и Eth (telnet) пользователи проходят авторизацию на Radius без проблем,
пользователи Eth 802.1x получают Access-Reject c логом типа MD5 authorisation requed password.
Причем Access-Request от клиента до радиуса доходит без проблем. выписывается Access-Chellange,
и вот при ответе на него и дается reject.
Клиенты XP naitive, SecureW2 и Funk Odissey.
Если включить на 3com CHAP или PAP авторизацию, то пакеты Access-Request до радиуса не доходят.
Я думаю, что это на 99% - настройки 3com.

Нет ли мыслей - в каком направлении думать?

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 15 ноя 2006, 17:53

Покажите debugging dot1x event и packet на сеансе.

Mikles
Junior member
Сообщения: 5
Зарегистрирован: 12 ноя 2006, 00:02
Откуда: SPb

Сообщение Mikles » 16 ноя 2006, 17:39

---Verbose information of the packet---
Destination Mac Address: 0180-c200-0003
Source Mac Address: 000f-ea0f-35cf
Mac Frame Type: 888e.
Protocol Version ID: 1.
Packet Type: 0.
Packet Length: 8.
-----Packet Body-----
Code: 2.
Identifier: 1.
Length: 8.
*0.15357652 4500 8021X/8/EVENT:- 1 -Auth:194,Msg: EAP MD5-Challenge.
*0.15357717 4500 RDS/8/DEBUG:- 1 -Recv MSG,[MsgType=EAP auth request Index = 194, ulParam3=2181745044]
*0.15357834 4500 RDS/8/DEBUG:- 1 -Send attribute list:
*0.15357900 4500 RDS/8/DEBUG:- 1 -
[1  User-name                   ] [5 ] [mik]
*0.15358001 4500 RDS/8/DEBUG:- 1 -
[79 EAP-Message                 ] [10] [02010008016D696B]
[80 Message-Autheticator        ] [18] [00000000000000000000000000000000]
[4  NAS-IP-Address              ] [6 ] [192.168.0.2]
[32 NAS-Identifier              ] [6 ] [4500]
[5  NAS-Port                    ] [6 ] [268439553]
[61 NAS-Port-Type               ] [6 ] [15]
*0.15358450 4500 RDS/8/DEBUG:- 1 -
[6  Service-Type                ] [6 ] [2]
[7  Framed-Protocol             ] [6 ] [1]
[31 Caller-ID                   ] [16] [303030662D656130662D33356366]
*0.15358684 4500 RDS/8/DEBUG:- 1 -Send: IP=[192.168.0.100], UserIndex=[194], ID=[83], RetryTimes=[0], Code=[1], Length=[105]
*0.15358834 4500 RDS/8/DEBUG:- 1 -Send Raw Pakcet is:
*0.15358884 4500 RDS/8/DEBUG:- 1 -
01 53 00 69 fff0c 00 00 fff58 00 00 fff16 00 00
34 67 00 00 01 05 6d 69 6b 4f 0a 02 01 00 08 01
6d 69 6b 50 12 ffffff46 4d 3f 63 ffffff3f ffffff
1f fffffffff2d 04 06 ffffff00 02 20 06 34 35 30
30 05 06 10 00 10 01 3d 06 00 00 00 0f 06 06 00
00 00 02 07 06 00 00 00 01 1f 10 30 30 30 66 2d
65 61 30 66 2d 33 35 63 66

*0.15359334 4500 RDS/8/DEBUG:- 1 -Recv MSG,[MsgType=PKT response Index = 110, ulParam3=1677764800]
*0.15359467 4500 RDS/8/DEBUG:- 1 -Receive Raw Packet is:
*0.15359536 4500 RDS/8/DEBUG:- 1 -
0b 53 00 6e 6e 3f 57 7c fff75 fff52 74 ffffff17
fffffffff4b 08 06 ffffffffffff0c 06 00 00 02 40
06 06 00 00 00 02 07 06 00 00 00 01 0d 06 00 00
00 01 4f 18 01 02 00 16 04 10 3c 23 ffffffffffff
2b fffffffff75 fff02 7c ffffff50 12 fffffffff7b
70 46 ffffffffffff42 fffffffff38 fff18 12 fff10
65 2b 7e 57 15 fff42 74 3f fff67 ffffff6d

*0.15360000 4500 RDS/8/DEBUG:- 1 -Receive:IP=[192.168.0.100],Code=[11],Length=[110]
*0.15360101 4500 RDS/8/DEBUG:- 1 -
[8  Framed-Address              ] [6 ] [255.255.255.254]
[12 Framed-MTU                  ] [6 ] [576]
[6  Service-Type                ] [6 ] [2]
[7  Framed-Protocol             ] [6 ] [1]
[13 Framed-Compression          ] [6 ] [1]
[79 EAP-Message                 ] [24] [0102001604103C23FFFFFFFF2BFFFFFF75FF027CFFFFFFFFBE]
*0.15360550 4500 RDS/8/DEBUG:- 1 -
[80 Message-Autheticator        ] [18] [FFFFFF7B7046FFFFFFFF42FFFFFF38FFFFFFF8]
[24 State                       ] [18] [FF10652B7E5715FF42743FFF67FFFF6D]
*0.15360783 4500 8021X/8/EVENT:- 1 -Auth:194,
*0.15360835 4500 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet.
---Verbose information of the packet---
Destination Mac Address: 000f-ea0f-35cf
Source Mac Address: 0016-e0c2-bd80
Mac Frame Type: 888e.
Protocol Version ID: 1.
Packet Type: 0.
Packet Length: 22.
-----Packet Body-----
Code: 1.
Identifier: 2.
Length: 22.
*0.15361234 4500 8021X/8/PACKET:- 1 -Port:0,Received a EAPOL packet.
*0.15361300 4500 8021X/8/PACKET:- 1 -Port:0,NOT a Eapol-start.
*0.15361367 4500 8021X/8/PACKET:- 1 -Port:0,Auth:0,PacketType: EAPOL-PACKET.
*0.15361467 4500 8021X/8/PACKET:- 1 -Port:0,Auth:0,EAP Type: Response.
*0.15361550 4500 8021X/8/EVENT:- 1 -Port:0,Auth:194,Resource exists.
*0.15361618 4500 8021X/8/PACKET:- 1 -Port:0,Auth:194,Code Type: Challenge.
*0.15361700 4500 8021X/8/EVENT:- 1 -Port:0,Auth:194,Sent EAP MD5-Challenge Msg to 1X-Queue.
*0.15361800 4500 8021X/8/PACKET:- 1 -Port:0,End processing the packet received.
---Verbose information of the packet---
Destination Mac Address: 0180-c200-0003
Source Mac Address: 000f-ea0f-35cf
Mac Frame Type: 888e.
Protocol Version ID: 1.
Packet Type: 0.
Packet Length: 25.
-----Packet Body-----
Code: 2.
Identifier: 2.
Length: 25.
*0.15362217 4500 8021X/8/EVENT:- 1 -Auth:194,Msg: EAP MD5-Challenge.
*0.15362284 4500 RDS/8/DEBUG:- 1 -Recv MSG,[MsgType=EAP auth request Index = 194, ulParam3=2181745044]
*0.15362400 4500 RDS/8/DEBUG:- 1 -Send attribute list:
*0.15362467 4500 RDS/8/DEBUG:- 1 -
[1  User-name                   ] [5 ] [mik]
*0.15362568 4500 RDS/8/DEBUG:- 1 -
[79 EAP-Message                 ] [27] [020200190410FFFFFF2245FF2AFF373322FF01FF2BFF6D696B]
[80 Message-Autheticator        ] [18] [00000000000000000000000000000000]
[4  NAS-IP-Address              ] [6 ] [192.168.0.2]
[32 NAS-Identifier              ] [6 ] [4500]
[5  NAS-Port                    ] [6 ] [268439553]
[61 NAS-Port-Type               ] [6 ] [15]
*0.15363084 4500 RDS/8/DEBUG:- 1 -
[6  Service-Type                ] [6 ] [2]
[7  Framed-Protocol             ] [6 ] [1]
[31 Caller-ID                   ] [16] [303030662D656130662D33356366]
[24 State                       ] [18] [FF10652B7E5715FF42743FFF67FFFF6D]
*0.15363400 4500 RDS/8/DEBUG:- 1 -Send: IP=[192.168.0.100], UserIndex=[194], ID=[84], RetryTimes=[0], Code=[1], Length=[140]
*0.15363550 4500 RDS/8/DEBUG:- 1 -Send Raw Pakcet is:
*0.15363601 4500 RDS/8/DEBUG:- 1 -
01 54 00 ffffff07 00 00 76 0f 00 00 24 6e 00 00
fff4e 00 00 01 05 6d 69 6b 4f 1b 02 02 00 19 04
10 fffffffff22 45 fff2a fff37 33 22 fff01 fff2b
fff6d 69 6b 50 12 3e 5c 2c 5b 37 fffffffff68 53
47 20 12 0e 69 fff04 06 ffffff00 02 20 06 34 35
30 30 05 06 10 00 10 01 3d 06 00 00 00 0f 06 06
00 00 00 02 07 06 00 00 00 01 1f 10 30 30 30 66
2d 65 61 30 66 2d 33 35 63 66 18 12 fff10 65 2b
7e 57 15 fff42 74 3f fff67 ffffff6d

*0.15364200 4500 RDS/8/DEBUG:- 1 -Recv MSG,[MsgType=PKT auth timeout Index = 194, ulParam3=0]
*0.15364300 4500 RDS/8/DEBUG:- 1 -Send: IP=[192.168.0.100], UserIndex=[194], ID=[84], RetryTimes=[1], Code=[1], Length=[140]
*0.15364464 4500 RDS/8/DEBUG:- 1 -Recv MSG,[MsgType=PKT response Index = 44, ulParam3=1677764800]
*0.15364567 4500 RDS/8/DEBUG:- 1 -Receive Raw Packet is:
*0.15364636 4500 RDS/8/DEBUG:- 1 -
03 54 00 2c ffffffffffff1e fff22 7b 77 fff56 04
17 38 fff1d 4f 06 04 02 00 04 50 12 fff5f 43 54
7d 22 fff22 7e 16 2b 42 fff2c ffffff

*0.15364850 4500 RDS/8/DEBUG:- 1 -Receive:IP=[192.168.0.100],Code=[3],Length=[44]
*0.15364967 4500 RDS/8/DEBUG:- 1 -
[79 EAP-Message                 ] [6 ] [04020004]
[80 Message-Autheticator        ] [18] [FF5F43547D22FF227E162B42FF2CFFFFFFFFC4]
*0.15365167 4500 RDS/8/DEBUG:- 1 -RejectMsg=[Rejected by RADIUS server without any message ]
*0.15365267 4500 8021X/8/EVENT:- 1 -Auth:194,Msg: Auth request ack for failure, ACM->1X.
*0.15365367 4500 8021X/8/EVENT:- 1 -Auth:194,Processing node FAILURE...
*0.15365450 4500 8021X/8/EVENT:- 1 -Auth:194,Sending EAPoL-Failure...
*0.15365531 4500 8021X/8/PACKET:- 1 -Port:0,Transmitted a packet.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 17 ноя 2006, 11:34

Я не вижу Radius Access-Accept, что в логах Radius'a.

Mikles
Junior member
Сообщения: 5
Зарегистрирован: 12 ноя 2006, 00:02
Откуда: SPb

Сообщение Mikles » 17 ноя 2006, 16:12

Это логи 3com.
Вот логи Радиуса
rad_recv: Access-Request packet from host 192.168.0.2:5001, id=5, length=105
User-Name = "mik"
EAP-Message = 0x02010008016d696b
Message-Authenticator = 0xc9eb694cef7ff84032ed86f5d36b422b
NAS-IP-Address = 192.168.0.2
NAS-Identifier = "4500"
NAS-Port = 268439553
NAS-Port-Type = Ethernet
Service-Type = Framed-User
Framed-Protocol = PPP
Calling-Station-Id = "000f-ea0f-35cf"
 Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
 modcall[authorize]: module "preprocess" returns ok for request 0
radius_xlat:  '/usr/local/var/log/radius/radacct/192.168.0.2/auth-detail-20061117'
rlm_detail: /usr/local/var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /usr/local/var/log/radius/radacct/192.168.0.2/auth-detail-20061117
 modcall[authorize]: module "auth_log" returns ok for request 0
 modcall[authorize]: module "chap" returns noop for request 0
 modcall[authorize]: module "mschap" returns noop for request 0
   rlm_realm: No '@' in User-Name = "mik", looking up realm NULL
   rlm_realm: No such realm "NULL"
 modcall[authorize]: module "suffix" returns noop for request 0
 rlm_eap: EAP packet type response id 1 length 8
 rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
 modcall[authorize]: module "eap" returns updated for request 0
   users: Matched entry DEFAULT at line 171
   users: Matched entry DEFAULT at line 183
 modcall[authorize]: module "files" returns ok for request 0
modcall: leaving group authorize (returns updated) for request 0
 rad_check_password:  Found Auth-Type EAP
auth: type "EAP"
 Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 0
 rlm_eap: EAP Identity
 rlm_eap: processing type md5
rlm_eap_md5: Issuing Challenge
 modcall[authenticate]: module "eap" returns handled for request 0
modcall: leaving group authenticate (returns handled) for request 0
Sending Access-Challenge of id 5 to 192.168.0.2 port 5001
Framed-IP-Address = 255.255.255.254
Framed-MTU = 576
Service-Type = Framed-User
EAP-Message = 0x01020016041098cb73a6bb8f4812f78e519e785ddb63
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x08252c5b8472b6e6b76820523e1c67c9
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
rad_recv: Access-Request packet from host 192.168.0.2:5001, id=6, length=137
User-Name = "mik"
EAP-Message = 0x020200160410a5fbab38022cf1cd75221993ed67c8eb
Message-Authenticator = 0x5d568adc93a47a2475b771996e75e744
NAS-IP-Address = 192.168.0.2
NAS-Identifier = "4500"
NAS-Port = 268439553
NAS-Port-Type = Ethernet
Service-Type = Framed-User
Framed-Protocol = PPP
Calling-Station-Id = "000f-ea0f-35cf"
State = 0x08252c5b8472b6e6b76820523e1c67c9
 Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
 modcall[authorize]: module "preprocess" returns ok for request 1
radius_xlat:  '/usr/local/var/log/radius/radacct/192.168.0.2/auth-detail-20061117'
rlm_detail: /usr/local/var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /usr/local/var/log/radius/radacct/192.168.0.2/auth-detail-20061117
 modcall[authorize]: module "auth_log" returns ok for request 1
 modcall[authorize]: module "chap" returns noop for request 1
 modcall[authorize]: module "mschap" returns noop for request 1
   rlm_realm: No '@' in User-Name = "mik", looking up realm NULL
   rlm_realm: No such realm "NULL"
 modcall[authorize]: module "suffix" returns noop for request 1
 rlm_eap: EAP packet type response id 2 length 22
 rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
 modcall[authorize]: module "eap" returns updated for request 1
   users: Matched entry DEFAULT at line 171
   users: Matched entry DEFAULT at line 183
 modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns updated) for request 1
 rad_check_password:  Found Auth-Type EAP
auth: type "EAP"
 Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 1
 rlm_eap: Request found, released from the list
 rlm_eap: EAP/md5
 rlm_eap: processing type md5
rlm_eap_md5: User-Password is required for EAP-MD5 authentication
rlm_eap: Handler failed in EAP/md5
 rlm_eap: Failed in EAP select
 modcall[authenticate]: module "eap" returns invalid for request 1
modcall: leaving group authenticate (returns invalid) for request 1
auth: Failed to validate the user.
Login incorrect: [mik/<no User-Password attribute>] (from client 3com port 268439553 cli 000f-ea0f-35cf)
Delaying request 1 for 1 seconds
Finished request 1
Going to the next request
Waking up in 6 seconds...
rad_recv: Access-Request packet from host 192.168.0.2:5001, id=6, length=137
Sending Access-Reject of id 6 to 192.168.0.2 port 5001
EAP-Message = 0x04020004
Message-Authenticator = 0x00000000000000000000000000000000


Причем если в настройках радиуса указать Auth-Type := Accept, то Access-Accpet проходит.

Запуск tcpdump udp показал отсутствие аттрибута User-Password.
Хотя клиент пароль посылает.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 20 ноя 2006, 11:15

Тогда настройки 3com;)

Mikles
Junior member
Сообщения: 5
Зарегистрирован: 12 ноя 2006, 00:02
Откуда: SPb

Сообщение Mikles » 20 ноя 2006, 16:54

dot1x interface Ethernet 1/0/1
radius scheme radius1
primary authentication 192.168.0.100
primary accounting 192.168.0.100
timer 5
retry 5
timer realtime-accounting 15
user-name-format without-domain
domain IS
sheme radius-sheme radius1
domain default enable IS
dot1x
dot1x authentication-method eap md5-challenge

Комментарий.
Ethernet 1/0/1 - это для клиента.
Radius в 48  порту. настройки default.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 20 ноя 2006, 18:12

Да вроде всё хорошо.
Другие методы пробовали (PAP,CHAP)?
На каком этапе обрезается пароль:
При начальном запросе Radius Acccess-Request
Или в ответе на Challenge

Mikles
Junior member
Сообщения: 5
Зарегистрирован: 12 ноя 2006, 00:02
Откуда: SPb

Сообщение Mikles » 21 ноя 2006, 10:01

PAP & CHAP запросы не проходят.
Попробую все переставить с нуля.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 21 ноя 2006, 12:24

Не помню, может и не принципиально, но попробуйте прописать корректный domain и ip host на radius.

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей