configuratio Freeradius

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

configuratio Freeradius

Messagepar Yoda » 07 Jan 2008 09:44

Bonjour,

Je rencontre quelques soucis lors de la configuration de freeradius en suivant le tuto de C.Caleca

:arrow: http://christian.caleca.free.fr/lansecu ... adius1.htm

Le radius est simplement configurer pour du 802.1x port-based (pas de wifi pour le moment)

Re-sending Access-Request of id 237 to 127.0.0.1 port 1812
User-Name = "test0"
User-Password = "userpassword"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
radclient: no response from server for ID 237
root@sit-test:~# freeradius -xx
Starting - reading configuration files ...
reread_config: reading radiusd.conf
Config: including file: /etc/freeradius/clients.conf
Config: including file: /etc/freeradius/eap.conf
Config: including file: /etc/freeradius/sql.conf
/etc/freeradius/radiusd.conf[179]: Line too long
Errors reading radiusd.conf
root@sit-test:~#


Cette erreur m'intrigue car apparement mon fichier radiusd.conf est juste voici la fin du fichier
acct_unique
files
}

session {
sql
}


Merci de votre aide
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar jibe » 07 Jan 2008 10:19

Salut,

Connais rien à freeradius... Mais je tente de faire avancer le schmilblic.

Quelle est la ligne 179 ?

As-tu vérifié qu'elle ne comporte pas un caractère non imprimable qui sèmerait la pagaille ? Vérifie ton fichier dans un éditeur hexadécimal :wink:

Autre possibilité : l'histoire des fins de lignes différentes sous W$ et Linux. N'y aurait-il pas un 0x0d ou 0x0a manquant ou en trop ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Yoda » 07 Jan 2008 10:36

la ligne 179 est la derniere du fichier comme décrit sur la doc.

tu entend quoi par un caractere non imprimable?

merci
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar Franck78 » 07 Jan 2008 10:41

moi je trouve qu'il manque une accolade, ce qui donne une fin innatendue à l'analyseur de syntaxe. Traduit par un message innaproprié. Mais le fichier ENTIER serait mieux pour confirmer.
Une fin de ligne c'est quoi? Ajoute des lignes vides à la fin du fichier!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Urbalk » 07 Jan 2008 14:14

J'ai fais une boulette avec mon ancien compte ce qui explique le pseudo différent

les messages d'erreur:
root@sit-test:~# /etc/init.d/freeradius start
* Starting FreeRADIUS daemon freeradius Mon Jan 7 13:12:25 2008 : Info: Starting - reading configuration files ...
Mon Jan 7 13:12:25 2008 : Error: /etc/freeradius/radiusd.conf[179]: Line too long
Mon Jan 7 13:12:25 2008 : Error: Errors reading radiusd.conf
[ OK ]
root@sit-test:~#


le fichier radiusd.conf:
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log/freeradius
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/freeradius
log_file = ${logdir}/radius.log
libdir = /usr/lib/freeradius
pidfile = ${run_dir}/freeradius.pid
user = freerad
group = freerad
max_request_time = 30
delete_blocked_requests = no
cleanup_delay = 5
max_requests = 1024
bind_address = *
port = 0
hostname_lookups = no
allow_core_dumps = no
regular_expressions = yes
extended_expressions = yes
log_stripped_names = no
log_auth = no
log_auth_badpass = no
log_auth_goodpass = no
usercollide = no
lower_user = no
lower_pass = no
nospace_user = no
nospace_pass = no
checkrad = ${sbindir}/checkrad
security {
max_attributes = 200
reject_delay = 1
status_server = no
}
$INCLUDE ${confdir}/clients.conf
snmp = no
thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}
modules {
chap {
authtype = CHAP
}
$INCLUDE ${confdir}/eap.conf
checkval {
item-name = Calling-Station-Id
check-name = Calling-Station-Id
data-type = string
}

preprocess {
huntgroups = ${confdir}/huntgroups
hints = ${confdir}/hints
with_ascend_hack = no
ascend_channels_per_line = 23
with_ntdomain_hack = no
with_specialix_jetstream_hack = no
with_cisco_vsa_hack = no
}
files {
usersfile = ${confdir}/users
compat = no
}
detail {
detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d
detailperm = 0600
}
acct_unique {
key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
}
$INCLUDE ${confdir}/sql.conf

radutmp {
filename = ${logdir}/radutmp
username = %{User-Name}
case_sensitive = yes
check_with_nas = yes
perm = 0600
callerid = "yes"
}
radutmp sradutmp {
filename = ${logdir}/sradutmp
perm = 0644
callerid = "no"
}
attr_filter {
attrsfile = ${confdir}/attrs
}
counter daily {
filename = ${raddbdir}/db.daily
key = User-Name
count-attribute = Acct-Session-Time
reset = daily
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
allowed-servicetype = Framed-User
cache-size = 5000
}
sqlcounter dailycounter {
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
sqlmod-inst = sql
key = User-Name
reset = daily
query = "SELECT SUM(AcctSessionTime - \
GREATEST((%b - UNIX_TIMESTAMP(AcctStartTime)), 0)) \
FROM radacct WHERE UserName='%{%k}' AND \
UNIX_TIMESTAMP(AcctStartTime) + AcctSessionTime > '%b'"
}
sqlcounter monthlycounter {
counter-name = Monthly-Session-Time
check-name = Max-Monthly-Session
sqlmod-inst = sql
key = User-Name
reset = monthly
query = "SELECT SUM(AcctSessionTime - \
GREATEST((%b - UNIX_TIMESTAMP(AcctStartTime)), 0)) \
FROM radacct WHERE UserName='%{%k}' AND \
UNIX_TIMESTAMP(AcctStartTime) + AcctSessionTime > '%b'"
}
always fail {
rcode = fail
}
always reject {
rcode = reject
}
always ok {
rcode = ok
simulcount = 0
mpp = no
}
expr {
}
digest {
}
exec {
wait = yes
input_pairs = request
}
exec echo {
wait = yes
program = "/bin/echo %{User-Name}"
input_pairs = request
output_pairs = reply
}
}

authorize {
preprocess
sql
eap
}

authenticate {
Auth-Type CHAP {
chap
}
eap
}

preacct {
preprocess
acct_unique
files
}

session {
sql
}


merci
Urbalk
Matelot
Matelot
 
Messages: 6
Inscrit le: 07 Jan 2008 11:53

Messagepar jibe » 07 Jan 2008 22:41

Yoda a écrit:tu entend quoi par un caractere non imprimable?

Un caractère qui ne peut pas s'imprimer :P
C'est à dire un des 32 premiers du code ASCII.

Ouvre ton fichier dans un éditeur hexadécimal (sous W$ ou wine, PSPad est vraiment bien fait), et regarde si tu vois des codes <20 en hexadécimal. Tu devrais trouver des 0d et/ou 0a à toutes les fins de ligne, mais toujours les mêmes.

Mais l'astuce de Franck78 est plus simple si tu maitrises mal l'hexa : ajoute des lignes blanches en fin, en utilisant bien l'éditeur de ton serveur. Cela devrait au moins déplacer le problème, et peut-être bien le résoudre. Effectivement, si le problème se situe à la toute dernière ligne, il est fort possible que ce soit dû au fait qu'un éditeur exotique ait été utilisé, et n'ait pas terminé le fichier de config de la façon attendue par l'OS (caractères 0d, 0a et/ou 1a probablement attendus). Reprendre le fichier avec le bon éditeur a de fortes chances de le remettre en bonne forme.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Urbalk » 08 Jan 2008 10:58

Ok,

merci pour vos réponses, en gros je dois arreter de faire des C/C des conf... le problème doit venir de là.

je refais une installation toute propre.

a +
Urbalk
Matelot
Matelot
 
Messages: 6
Inscrit le: 07 Jan 2008 11:53

Messagepar Urbalk » 08 Jan 2008 12:49

J'ai donc refait une installation complete du serveur (debian mysql-server freeradius).

correctement modifié mes fichier via WinSCP

et en effet plus de message d'erreur à la compilation ni lors du lancement du radius (merci Franck78 et Jibe:wink: )

Radius:~# /etc/init.d/freeradius start
Starting FreeRADIUS daemon: freeradius.
Radius:~#


par contre j'ai un autre message d'erreur :
Radius:~# radtest test0 userpassword 127.0.0.1 0 naspassword
Sending Access-Request of id 98 to 127.0.0.1 port 1812
User-Name = "test0"
User-Password = "userpassword"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
Re-sending Access-Request of id 98 to 127.0.0.1 port 1812
User-Name = "test0"
User-Password = "userpassword"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=98, length=20
rad_verify: Received Access-Reject packet from client 127.0.0.1 port 1812 with invalid signature (err=2)! (Shared secret is incorrect.)
Radius:~#
Radius:~# freeradius -x
Starting - reading configuration files ...
Using deprecated naslist file. Support for this will go away soon.
There appears to be another RADIUS server running on the authentication port 1812
Radius:~#


la deuxième ligne en gras me tracasse elle me dit que apparament un autre radius fonctionne sur le port 1812 alors que mon installation est toute propre...

merci
Urbalk
Matelot
Matelot
 
Messages: 6
Inscrit le: 07 Jan 2008 11:53

Messagepar Franck78 » 08 Jan 2008 14:07

Pourquoi donc? Tu l'as lancé une fois. Tu le relances avec -x, il trouve l'instance déjà en action.
Travaille plutôt sur l'échange client/serveur=>secret partagé incorrect.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Urbalk » 09 Jan 2008 09:36

bonjour,

J'ai solutionner mon problème à l'aide de ce tuto:
http://www.pervasive-network.org/SPIP/I ... us-sur-une


Wed Jan 9 09:24:11 2008 : Debug: Listening on authentication *:1812
Wed Jan 9 09:24:11 2008 : Debug: Listening on accounting *:1813
Wed Jan 9 09:24:11 2008 : Info: Ready to process requests.

Radius:~# /etc/init.d/freeradius start
Starting FreeRADIUS daemon: freeradiusWed Jan 9 09:24:35 2008 : Info: Starting - reading configuration files ...
.
Radius:~# radtest Thus0 testtest 127.0.0.1 0 azerty
Sending Access-Request of id 58 to 127.0.0.1 port 1812
User-Name = "Thus0"
User-Password = "testtest"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=58, length=20
Radius:~#
Radius:~#
Radius:~#


je vous remercie de votre aide, aujourd'hui, en plus je sais ce qu'est un caractere non-imprimable :wink:

bonne journée.
Urbalk
Matelot
Matelot
 
Messages: 6
Inscrit le: 07 Jan 2008 11:53


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité