forum.opennet.ru - "Freeradis и WI-FI" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Freeradis и WI-FI"

Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Freeradis и WI-FI"	+/–
Сообщение от Алексей (??) on 05-Окт-13, 13:26
Доброго времени суток. Коллеги, подскажите куда копать, укажите нужное направление. Назрела необходимость (лишь часть обшей задачи) авторизововать Wi-Fi пользователей через Radius (wpa2 enterprice). На Фряхе зарядил Freeradius-mysql, завел в Мускул тестового пользователя, все работает без проблем (и локально и с Цисок по сетке): #radtest user shmuser localhost 1812 123 Sending Access-Request of id 97 to 127.0.0.1 port 1812 User-Name = "user" User-Password = "user123" NAS-IP-Address = 255.255.255.255 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=97, length=20 Но с точкой доступа - проблемы. В clients.conf прописана. client 192.168.0.37 { secret = 4321 shortname = wifi nastype = other } Tcpdump-ом смотрел - запрос на авторизацию идет, но потом - отлуп. Я так понимаю что нужно включить шифрование? Какой метод прописать в radius.conf? Пытался прописать $INCLUDE ${confdir}/eap.conf предварительно настроив eap.conf eap { default_eap_type = tls tls { private_key_password = whatever private_key_file = /usr/local/etc/raddb/certs/cert-srv.pem certificate_file = /usr/local/etc/raddb/certs/certs/cert-srv.pem CA_file = /usr/local/etc/raddb/certs/certs/demoCA/cacert.pem dh_file = /usr/local/etc/raddb/certs/certs/dh random_file = /usr/local/etc/raddb/certs/certs/random } } Все равно не работает. Вот что в логах: Fri Oct 4 15:07:34 2013 : Info: Ready to process requests. Fri Oct 4 15:07:40 2013 : Auth: Login OK: [user] (from client localhost port 1812) Fri Oct 4 15:08:57 2013 : Error: TLS Alert read:fatal:certificate unknown Fri Oct 4 15:08:57 2013 : Error: TLS_accept:failed in SSLv3 read client certificate A Fri Oct 4 15:08:57 2013 : Error: rlm_eap: SSL error error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown Fri Oct 4 15:08:57 2013 : Error: rlm_eap_tls: SSL_read failed inside of TLS (-1), TLS session fails. Fri Oct 4 15:08:57 2013 : Auth: Login incorrect: [anonymous/<no User-Password attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9) Fri Oct 4 15:09:07 2013 : Auth: Login OK: [user] (from client localhost port 1812) Fri Oct 4 15:09:28 2013 : Error: TLS Alert read:fatal:certificate unknown Fri Oct 4 15:09:28 2013 : Error: TLS_accept:failed in SSLv3 read client certificate A Fri Oct 4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown Fri Oct 4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside of TLS (-1), TLS session fails. Fri Oct 4 15:09:28 2013 : Auth: Login incorrect: [anonymous/<no User-Password attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9) Sat Oct 5 13:10:45 2013 : Info: Using deprecated naslist file. Support for this will go away soon. Прошу помощи раскрутить.
Ответить \| Правка \| Cообщить модератору

Оглавление

Freeradis и WI-FI, PJ, 20:14 , 05-Окт-13, (1)

Freeradis и WI-FI, Алексей, 12:48 , 06-Окт-13, (2)

Freeradis и WI-FI, PJ, 19:03 , 06-Окт-13, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Freeradis и WI-FI" +/–

Сообщение от PJ (ok) on 05-Окт-13, 20:14

>[оверквотинг удален]
> TLS_accept:failed in SSLv3 read client certificate A
> Fri Oct  4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL
> routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
> Fri Oct  4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside
> of TLS (-1), TLS session fails.
> Fri Oct  4 15:09:28 2013 : Auth: Login incorrect: [anonymous/<no User-Password
> attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9)
> Sat Oct  5 13:10:45 2013 : Info: Using deprecated naslist file.
>  Support for this will go away soon.
> Прошу помощи раскрутить.
Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? В свойствах беспроводной сети нужный CA выбран?
Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../
(в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре мест ' на ` менять)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Freeradis и WI-FI" +/–

Сообщение от Алексей (??) on 06-Окт-13, 12:48

> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены?
> В свойствах беспроводной сети нужный CA выбран?
> Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../
> (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре
> мест ' на ` менять)
Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, т. к. в 90% случаем это будут смартовые мобилки,  т.е. peap нужен. В общем буду изучать вопрос далее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Freeradis и WI-FI" +/–

Сообщение от PJ (ok) on 06-Окт-13, 19:03

>> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены?
>> В свойствах беспроводной сети нужный CA выбран?
>> Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../
>> (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре
>> мест ' на ` менять)
> Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил,
> т. к. в 90% случаем это будут смартовые мобилки,  т.е.
> peap нужен. В общем буду изучать вопрос далее.
Обратите внимание на то, что тип EAP может быть только один (а не одновременно 2 и это еще одна ошибка в статье) - или PEAP, или TLS. Сертификаты в Андроид религия вроде как не запрещает импортировать - нужно только сконвертировать корневой .pem-сертификат в .crt и поместить его на SD-карту, и туда же поместить .p12-сертификат клиента  (см., например, http://habrahabr.ru/post/128405/ )

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Freeradis и WI-FI"	+/–
Сообщение от PJ (ok) on 05-Окт-13, 20:14
>[оверквотинг удален] > TLS_accept:failed in SSLv3 read client certificate A > Fri Oct 4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL > routines:SSL3_READ_BYTES:sslv3 alert certificate unknown > Fri Oct 4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside > of TLS (-1), TLS session fails. > Fri Oct 4 15:09:28 2013 : Auth: Login incorrect: [anonymous/<no User-Password > attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9) > Sat Oct 5 13:10:45 2013 : Info: Using deprecated naslist file. > Support for this will go away soon. > Прошу помощи раскрутить. Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? В свойствах беспроводной сети нужный CA выбран? Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../ (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре мест ' на ` менять)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Freeradis и WI-FI"	+/–
	Сообщение от Алексей (??) on 06-Окт-13, 12:48
	> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? > В свойствах беспроводной сети нужный CA выбран? > Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../ > (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре > мест ' на ` менять) Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, т. к. в 90% случаем это будут смартовые мобилки, т.е. peap нужен. В общем буду изучать вопрос далее.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Freeradis и WI-FI"	+/–
	Сообщение от PJ (ok) on 06-Окт-13, 19:03
	>> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? >> В свойствах беспроводной сети нужный CA выбран? >> Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../ >> (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре >> мест ' на ` менять) > Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, > т. к. в 90% случаем это будут смартовые мобилки, т.е. > peap нужен. В общем буду изучать вопрос далее. Обратите внимание на то, что тип EAP может быть только один (а не одновременно 2 и это еще одна ошибка в статье) - или PEAP, или TLS. Сертификаты в Андроид религия вроде как не запрещает импортировать - нужно только сконвертировать корневой .pem-сертификат в .crt и поместить его на SD-карту, и туда же поместить .p12-сертификат клиента (см., например, http://habrahabr.ru/post/128405/ )
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору