20070330-get radius-v1.0
Post on 06-Apr-2018
226 Views
Preview:
TRANSCRIPT
-
8/2/2019 20070330-GET Radius-v1.0
1/51
TierceMaintenance Applicative-Infrastructures
GET Radius
NHE
Mars 2007
-
8/2/2019 20070330-GET Radius-v1.0
2/51
2
Os radius
Le radius est un os long qui forme le squelette de l'avant-bras
Cet os va de l'extrieur du coude la base du pouce sur le poignet. Il est plus
court que l'autre os de l'avant-bras, le cubitus
-
8/2/2019 20070330-GET Radius-v1.0
3/51
3
Sommaire
Historique
AAA
Protocole Radius
Flux Radius
Outils Radius
Freeradius
Exploitation proxy Radius CASE
Questions
-
8/2/2019 20070330-GET Radius-v1.0
4/51
4
Historique
Radius = Remote Authentication Dial-In User Service
Dvelopp par Livingston Enterprises puis normalis par lIETF
Premire version: janvier 1997
Dernire version: juin 2000 normalise par l'IETF dans les RFC :
RFC 2865 (RADIUS authentication)
RFC 2866 (RADIUS accounting)
RFC 2869 (RADIUS extensions EAP)
A l'origine pour permettre aux FAI d'authentifier les utilisateurs distants utilisant
les connexions par modem RTC partir de multiples serveurs (les clients radius
de type NAS) mais d'une seule base utilisateurs (attache au serveur radius)
-
8/2/2019 20070330-GET Radius-v1.0
5/51
5
Authentication Authorization Accounting
Radius est un protocole de type AAA
AuthenticationQui me parle ? Comment je lauthentifie ?
AuthorizationQuelles autorisations je lui accorde ?
AccountingQue fait-il ?
Autres protocoles AAA: DIAMETER, TACACS, TACACS+
-
8/2/2019 20070330-GET Radius-v1.0
6/51
6
Authentication
Permet de vrifier si le client est bien celui quil prtend tre
Authentification pour dlivrer des autorisations
Prsentation dun login/password, dun token, dune adresse MAC, ...
Mthode dauthentification: CHAP, MS
-CHAP, PAP, EAP, etc
Authentification rseaux:
Branchement physique: 802.1X
Autorisation daccs
Autorisation d'usage
Authentification applicatives:
Systme d'exploitation: formulaire de login
Application apache: formulaire HTTP daccs une page
-
8/2/2019 20070330-GET Radius-v1.0
7/51
7
Authorization
Vrifier si le client droit daccder telle ou telle ressource
Utilisation dun fichier ou dune base de donnes
Enrichissement grce des attributs
Framed-IP-Address,Session-Timeout et Idle-Timeout, ..
Utilisation de dictionnaires
User-Name Action Attribut Valeur
cyber check Password "toto"
* ajout DNS 213.223.20.254
cyber ajout Gateway 213.223.20.1
-
8/2/2019 20070330-GET Radius-v1.0
8/51
8
Accounting
Enregistrer les ressources consommes par le client
temps pass sur une connexion internet via un modem
trafic tlcharg lors de la dernire connexion.
Date User-Name Type Session-Id Input-Octets Output-Octets Session-Time
13/02/2007 12:01:00 nhe Start 000003
13/02/2007 12:01:32 nhe Stop 000003 145 119 32
14/02/2007 18:01:32 bja Stop 000004 20Mo 2506 Terra octets 3600
-
8/2/2019 20070330-GET Radius-v1.0
9/51
9
Le protocole Radius
Permet de grer les connexions d'utilisateurs des services distants (politique
d'autorisation, droits d'accs et traabilit)
Dfini par la RFC2138/RFC2139 et ses extensions RFC2869 (support de lEAP
pour accroitre la scurit)
Architecture client/serveur
Transport UDP
Port 1812 (anciennement1645): service authentification
Port 1813 (anciennement1646): service accounting
Proxyfiable
Transport en clair, seul le mot de passe est chiffr par hachage
Richesse des informations qui peuvent potentiellement tre transmises entre leserveur et le client par les attributs (AvPairs)
-
8/2/2019 20070330-GET Radius-v1.0
10/51
10
Les types de paquets
Le protocole utilise 6 types de paquets => suffisants pour assurer toutes les transactions:
Access-Request
Premier paquet envoy par le client (NAS), Contient l'identit de l'utilisateur qui se connecte
Access-Accept
Renvoy par le serveur Radius pour accepter la requte du client aprs interrogation de sa based'authentification
Access-Reject
Emis par le serveur radius pour spcifier au client que sa requte est rejete.
Access-Challenge
Emis par le serveur Radius pour demander de remettre un access-request avec des paramtres
supplmentaires
Accounting-Request
Emis par le client pour indiquer loccurrence dun dvnement
Accounting-Response
Emis par le serveur pour confirmer lenregistrement de lvnement
-
8/2/2019 20070330-GET Radius-v1.0
11/51
11
Structure dun paquet RADIUS
Code (1 octet) = Type de la requte1 Access-Request
2 Access-Accept3 Access-Reject4 Accounting-Request
5 Accounting-Response11 Access-Challenge
12 Status-Server (experimental)13 Status-Client (experimental)
255 Reserved
Identifier(1 octet): permet dassocier les requtes et leurs rponses
Length (2 octets): taille totale du paquet UDP
Authenticator(2 octets): permet de garantir lintgrit et la scurit
Attributes
-
8/2/2019 20070330-GET Radius-v1.0
12/51
12
Les authenticators
Hash de 16 octets qui assure la scurit des changes
Calcul des authenticators:
RequestAuth = nombre alatoire
ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attributes+Secret)
RequestAcct = MD5(Code+ID+Length+16 zero octets+Attributes+Secret)
ResponseAcct = MD5(Code+ID+Length+ RequestAcct+Attributes+Secret)
Les paquets access-request ne sont pas authentifis avec le secret !
Le serveur peut demander un challenge (Request-Challenge)
Seul lattribut User-Password permet de vrifier que le secret partag est lebon.. enfin, si le password est bon
User-Password = XOR(MD5(Secret+RequestAuth),Password)
-
8/2/2019 20070330-GET Radius-v1.0
13/51
13
Les attributs (AvPairs)
Couple de cl/valeur permettant un enrichissement des proprits des paquets
Chaque attribut possde un numro d'identification
Seul ce numro est transmis dans les paquets
La correspondance entre le nom de l'attribut, son numro et son type est ralis
dans un dictionnaire
Nom Code Type
User-Name 1 string
User-Password 2 string
CHAP-Password 3 octets
NAS-IP-Address 4 ipaddr
NAS-Port 5 integer
Service-Type 6 integer
Framed-Protocol 7 integer
Framed-IP-Address 8 ipaddr
Framed-IP-Netmask 9 ipaddr
Situ dans: /usr/share/freeradius/dictionary
-
8/2/2019 20070330-GET Radius-v1.0
14/51
14
Structure dun attribut dans un paquet RADIUS
Type (1 octet) = type de lattribut1 User-Name2 User-Password
3 CHAP-Password4 NAS-IP-Address
5 NAS-Port6 Service-Type
8 Framed-IP-Address18 Reply-Message
26 Vendor-Specific
27S
ession-Timeout28 Idle-Timeout30 Called-Station-Id
31 Calling-Station-Id32 NAS-Identifier
40 Acct-Status-Type44 Acct-Session-Id
46 Acct-Session-Time56 Egress-VLANID
Length (1 octet): taille totale de lattribut en comptant le Type+ Length+Value
Value (x octets)
-
8/2/2019 20070330-GET Radius-v1.0
15/51
15
Les attributs spcifiques: vendor
Les fabricant de matriel rseau ont parfois intgr leurs quipements des
attributs spcifiques en plus des attributs standards dfinis dans les RFC.
Ces attributs sont encapsuls dans l'attribut standard vendor-specific qui a pour
numro 26.
Ils sont appels VSA = Vendor Specific Attribut
-
8/2/2019 20070330-GET Radius-v1.0
16/51
16
Structure dun attribut VENDOR dans un paquet RADIUS
Type (1 octet) = 26 Vendor-Specific
Vendor-Id (4 octets) = N'immatriculation du fabricant
(NMPECS= NetworkManagement Private Enterprise Codes "Assigned Numbers" RFC1700
Length (2 octets) = taille totale de lattribut
Vendor-Type (2 octets) = Comme pour les attributs standards, les vendor-attributs possdent un
numro d'identification. Ce numro est rpertori dans un dictionnaire spcifique au fabricant
Vendor Length (2 octets) = taille totale de lattribut vendor spcifique
Value (x octets) = valeur de lattribut vendor spcifique
-
8/2/2019 20070330-GET Radius-v1.0
17/51
17
Mode opratoire
Une utilisation type de RADIUS met en jeu 3 acteurs:
1) L'utilisateur: un poste de travail, un portable, un PDA... qui met la requte
d'authentification
2) Le client RADIUS: c'est le point d'accs au rseau (NAS, firewall, point d'accs
wireless, etc...)
3) Le serveur RADIUS: le point central o les donnes d'authentification sonttransmises; le serveur RADIUS a typiquement accs une base de donnes
d'utilisateurs et de mots de passe
-
8/2/2019 20070330-GET Radius-v1.0
18/51
18
Flux dauthentication
Base de donne
utilisateurs FAINAS
User: nhe@fai
Password: toto
Access-Request
User-Name=nhe@fai
Password: toto
NAS-IP-Address: 207.12.4.1
SelectUser=nhe
User=nhepassword=toto
Timeout=3600
[other attributes]
Access-Accept
User-Name=nhe@fai
[other attributes]
Framed-Address=213.223.38.100
Internet
Serveur Radius
Internet PPP connection established
Utilisateur
-
8/2/2019 20070330-GET Radius-v1.0
19/51
19
Flux daccounting
Base de donne
utilisateurs FAINAS
Dconnexion
Accounting-Request
User-Name=nhe@fai
NAS-IP-Address: 207.12.4.1
Acct-Status-Type = Stop
Acct-Session-Id = 120
Acct-Session-Time = 200
UpdateUser=nhe set
Time += 200
Accounting-ResponseUser-Name=nhe@fai
Acct-Session-Id = 120
Internet
Serveur Radius
Utilisateur
-
8/2/2019 20070330-GET Radius-v1.0
20/51
20
Faiblesses du protocole
Le protocole RADIUS possde ainsi plusieurs failles de conception se trouvant l'origine
de problmes de scurit :
La technique de protection "User-Password" ne devrait pas utiliser la fonction MD5 comme
primitive de chiffrement qui est plutt rserv pour des opration de signature
La gnration du champ "Response Authenticator" prsente des faiblesses
Le paquet "Access-Request" n'est pas authentifi.
De nombreuses implmentations clientes ne crent pas des requtes d'authentification "RequestAuthenticator" suffisamment alatoires
Beaucoup d'administrateurs choisissent des "secrets partags" identiques pour diffrents clients
De nombreuses implmentations clientes limitent artificiellement le nombre de caractres
possibles du secret partag
En interceptant la fois le Access-Request envoy par le client et la rponse du serveur,
il est possible de trouver le secret en utilisant une attaque brute-force ou par dictionnaire.En effet, le Request Authenticator n'est pas encrypt dans la requte, ni les champs
Code, Identificateur et Longueur et les attributs dans la rponse
RequestAuth = nombre alatoire
ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attributes+Secret)
-
8/2/2019 20070330-GET Radius-v1.0
21/51
21
Schma dune infrastructure radius ADSL
Le modem adsl effectue une demande de connexion sur le domaine @sfr.fr
Le BAS demande une authentification sur le radius interne de la collecte ADSL
de NeufTelecomLe radius analyse la demande et retransmet la requte vers le serveur radius du
FAI distant
-
8/2/2019 20070330-GET Radius-v1.0
22/51
22
Les extensions du protocole Radius: support EAP (802.1x)
Radius a t tendu pour supporter le protocole EAP et donc l'authentification
802.1x.
Pour cela 2 attributs ont t ajouts:
Message-Authenticator
EAP-Message
Les paquets EAP sont encapsuls dans l'attribut EAP-Message
Message-Authenticator est un attribut qui permet de signer les requtes qui
contiennent des attributs EAP-Message. (calcul MD5 sur le contenu d'un
access-request + secret partag)
RFC:
3579
radius support for EAP3748 EAP
2716 EAP/TLS
3580 802.1x radius usage guidelines
-
8/2/2019 20070330-GET Radius-v1.0
23/51
23
Exemple dauthentification russie
-
8/2/2019 20070330-GET Radius-v1.0
24/51
24
Exemple dauthentification en chec
-
8/2/2019 20070330-GET Radius-v1.0
25/51
25
Exemple daccounting russi
-
8/2/2019 20070330-GET Radius-v1.0
26/51
26
Exemple daccounting en chec
Pas de rponse
-
8/2/2019 20070330-GET Radius-v1.0
27/51
27
Boites outils Radius Marc
Serveurs radius
Radiator
Steel-Belted
Microsoft Radius Server IAS
Cisco Secure Access Control Server (ACS)
OpenRADIUSRadius - GNU Project
Cistron RADIUS
Freeradius
Clients radius
radtest
radiusclient
testradius
healthcheck F5 Cyber
-
8/2/2019 20070330-GET Radius-v1.0
28/51
28
Freeradius
Freeradius est une implmentation open source du protocole Radius
Bas sur Cistron
Supporte:
PAP, CHAP, MS-CHAP, EAP-MD5, EAP-GTC, EAP-TLS, EAP-TTLS, PEAPv0,
LEAP, EAP-SIM, Digest
LDAP, PostgresSQL, Oracle, SAMBA, fichier Local
Proxy RADIUS
Failover, Load balancing
Rcriture, Ajout dattribut la vole
Plus de 100 dictionnaires vendor
Module PAM-radius pour linux
Module mod_auth pour Apache
Disponible sur : Linux, FreeBSD, NetBSD, Solaris, MAC OSX, HP/UX, AIX,
MINGW32, CygWin
-
8/2/2019 20070330-GET Radius-v1.0
29/51
29
Freeradius: Fichiers de configuration
Les fichiers de configurations sont dans /etc/raddb
Configurations principales:
radiusd.conf => fichier de configuration gnral
clients.conf => contient les IP des clients et leur secret
users => contient les user-name et leurs attributs pour lauthentification
huntgroup => contient les groupes dauthentification
proxy.conf => contient les directives du proxy radius
Configurations secondaires:
eap.conf
dictionnary
ldap.attrmap
oraclesql.conf
postgresql.conf
sql.conf
-
8/2/2019 20070330-GET Radius-v1.0
30/51
30
Freeradius: fichier clients.conf
Doit rfrencer toutes les IP et les secrets des clients Radius autoriss
/etc/raddb/clients.conf
client 127.0.0.1 {
secret = "testradius"shortname = localhost
}
client 80.125.182.0/30 {
secret = "testradius"
shortname = HC_DMZF
}
client 80.118.192.64/26 {
secret = "tutuyoutou"
shortname = h-int-rha-proxy_radius_sfr
-
8/2/2019 20070330-GET Radius-v1.0
31/51
31
Freeradius: fichier users
Le fichier users est la base de donnes locale
Il est constitu d'une succession d'entres. Chacune correspondant un
utilisateur ou une machine
Le fichier est parcouru squentiellement du haut vers le bas
Chaque entre commence par un identifiant (le username) suivi par une liste
d'item vrifier (check item) sur une seule ligne.
Les lignes suivantes commencent par une tabulation suivie d'une liste d'items
de rponse (reply item) (Il peut y avoir plusieurs reply item spars par des
virgules et sur plusieurs lignes)
La slection sarrte au premier qui match sauf si une directive de Fall-
Through = Yes est utilis
Tous les check-item doivent matcher, sinon la requte est rejete
-
8/2/2019 20070330-GET Radius-v1.0
32/51
32
Freeradius: fichier users
testradius Auth-Type := Local , User-Password == "testradius"
Reply-Message = "Hello, %u",
Fall-Through = No
DEFAULT Huntgroup-Name == "proxy_radius_sfr" , Proxy-To-Realm := "h-ach-rha-vipradius"
Fall-Through = No
steve Auth-Type := Local, User-Password == "testing"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 172.16.3.33,
Framed-IP-Netmask = 255.255.255.0,
Framed-Filter-Id = "std.ppp",
Framed-MTU
= 1500,Framed-Compression = Van-Jacobsen-TCP-IP
DEFAULT Suffix == ".shell", Auth-Type := System
Service-Type = Login-User,
Login-Service = Telnet,
Login-IP-Host = your.shell.machine
/etc/raddb/users
-
8/2/2019 20070330-GET Radius-v1.0
33/51
33
Freeradius: oprateurs du fichier users
Oprateurs sur les check-item
Attribute = valeur: interdit !
Attribute := valeur: ajoute ou crase l'attribut dans la requte (pour forcer lesinputs)
Attribute += valeur: ajoute l'attribut dans la requte (pour forcer les inputs)
Attribute == valeur: match si l'attribut est prsent et est gale cette valeur
Attribute != valeur: match si l'attribut est prsent et n'est pas gale cette valeur
Attribute > valeur, >= ,
-
8/2/2019 20070330-GET Radius-v1.0
34/51
34
Freeradius: fichier huntgroups
Permet de dfinir un groupe de clients bas sur des adresses IP
Le nom du groupe servira comme discriminant dans le users
/etc/raddb/huntgroups
Pourquoi ne pas le faire dans le users ?
proxy_radius_sfr Client-IP-Address =~ "80.118.192.*"
proxy_radius_sfr Client-IP-Address =~ "80.118.196.*"
proxy_radius_sfr Client-IP-Address =~ "86.64.152.*"
-
8/2/2019 20070330-GET Radius-v1.0
35/51
35
Freeradius: fichier proxy.conf
Permet de dfinir la configuration des forwarding
Commence par une directive proxy server:
Un serveur est vu down si une requte nest pas servie dans le dlais imparti
Attention, il est sorti du pool pendant 120s non compressible !
synchronous=no permet de ne pas renvoyer une requte duplique
default_fallback=no permet de ne pas utiliser les entres DEFAULT en cas
dabsence de realm => proxy par default
proxy server {
synchronous = no
retry_delay = 5
retry_count = 3dead_time = 120
default_fallback = no
}
-
8/2/2019 20070330-GET Radius-v1.0
36/51
36
Freeradius: fichier proxy.conf
Constitu d'une succession de directives realm permettant de choisir le
forwardeur
De base: si User-name=toot@free.fralors realm=free.fr
Choix dimplmentation: pas de connaissance des realms des user-name +
forage du realm dans le fichier users
Forward des requtes vers les hosts suivant le service auth ou acct
Si 2+ realms identiques avec directive: ldflag= round_robin alors load-balacing
Si 2+ realms identiques avec directive: ldflag= fail_over alors active/backup
realm h-ach-rha-vipradius {
type = radius
authhost = 10.143.214.20:1812
accthost = 10.143.214.20:1813
secret = toutouyoutou
nostrip
}
-
8/2/2019 20070330-GET Radius-v1.0
37/51
37
Freeradius: fichier radius.conf
Configuration centrale de freeradius (60ko de base)
Dcoup en blocs
Listen
Dfinit la partie coute du daemon radiusd (port, multihoming)
Securit
Dfinit les paramtres pour minimiser les impacts dune attaque (nombre max
dattributs, temps entre 2 requtes, etc..
Thread
Dfinit les paralllisassions des process traitant les requtes entrante (nombre min,
max, start, etc)
Snmp
Dfinit la communaut pour le pooling des stats => ne marche pas dans notre version
Instantiate
Dfinit lordre de chargement des modules
-
8/2/2019 20070330-GET Radius-v1.0
38/51
38
Freeradius: fichier radius.conf
Bloc Modules
Dfinit les fonctions activables ainsi que leur instances : chap, pap, realm, ldap,files,
preprocess, sql, passwd, attr_rewrite
Format : nom_du_module nom_de_linstance { paramtres }
modules {ldap ldap_serveur1 {
server = "ldap.your.domain"
}
ldap ldap_serveur2 {
server = "ldap2.your.domain"
}
}
detail acct_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/acct_detail-%Y%m%d
detailperm = 600
}
detail auth_log {
detailfile = ${radauthdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
detailperm = 600
}
detailpost_auth_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/reply-detail-%Y%m%d
detailperm = 600}
detailpre_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/pre-proxy-detail-%Y%m%d
detailperm = 600
}
detailpost_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/post-proxy-detail-%Y%m%d
detailperm = 600
}
attr_rewrite rwt_username {
attribute = User-Name
searchin = proxy
searchfor = sfr.fr
replacewith = sfr.com
ignore_case = no
new_attribute = no
}
-
8/2/2019 20070330-GET Radius-v1.0
39/51
39
Freeradius: fichier radius.conf
Bloc Authentication
Liste les type dauthentification disponibles
Sur CASE uniquement PAP et CHAP
Autres: EAP, LDAP, digest, unix
authenticate {
Auth-Type PAP {
pap}
Auth-Type CHAP {
chap
}
}
-
8/2/2019 20070330-GET Radius-v1.0
40/51
40
Freeradius: fichier radius.conf
Bloc Authorize
Prpare les attributs, les enrichis et dcide quels sont ceux qui seront renvoys
Sur CASE, uniquement preprocess (clean + huntgroups) -> realms -> users
authorize {preprocess
auth_log
chap
suffix
files
}
-
8/2/2019 20070330-GET Radius-v1.0
41/51
41
Freeradius: fichier radius.conf
Bloc pre-proxy / post-proxy
Permet de rcrire, logger, supprimer les attributs avant de les relayer vers le serveur
final (pre-proxy) ou avant des renvoyer vers le clients (post-proxy)
Peu de modules disposent de ces sections
Sur CASE, uniquement pour logger
pre-proxy {
pre_proxy_log
#attr_rewrite
#attr_filter
}
post-proxy {post_proxy_log
#attr_rewrite
#attr_filter
}
-
8/2/2019 20070330-GET Radius-v1.0
42/51
42
Philosophie de limplmentation Proxy CASE
Pour RHA
CASE ne connat pas les realms des clients => exit la mthode des realm toto@sfr
CASE ne connat pas les User-name et CASE na pas accs une base LDAP =>
exit mthode user=>proxy
CASE connat les IP de NAS/Proxy se connectant
dfinition dun huntgroup
forage du huntgroup tre proxyfi vers la PFS RHA
Peut-tre contraignant car discriminant = IP source
Mthode plus fine pour dautres cas (attribut spcifique, realm)
-
8/2/2019 20070330-GET Radius-v1.0
43/51
43
Exploitation de freeradius
Arret/Dmarrage/Statut: /etc/init.d/radiusd stop/start/status
Debug prolog avanc (attention cela coupe le flux)
/etc/init.d/radiusd stop
radiusd X
Ne pas oublier de relancer /etc/init.d/radiusd start
Debug prod: tcpdump ou activation des log
Dcommenter les # dans les sections authentication ou accounting
/etc/init.d/radiusd reload
tail f /var/log/radius/radacct/IPCLIENTE/pre-proxy-detail
tail f /var/log/radius/radacct/IPCLIENTE/post-proxy-detail
tail f /var/log/radius/radacct/IPCLIENTE/auth-detail
tail f /var/log/radius/radacct/IPCLIENTE/reply-detail
tail f radius.log
Tue Nov 21 12:02:12 2006 : Proxy: marking authentication server 10.163.214.20:1812 forrealm h-ach-rhc-vipradius dead
Tue Nov 21 12:04:51 2006 : Proxy: marking authentication server 10.163.214.20:1812 forrealm h-ach-rhc-vipradius dead
-
8/2/2019 20070330-GET Radius-v1.0
44/51
44
Exploitation de freeradius
Mar 3011:59:16 pppsvada01 radiusd: radiusd shutdown succeeded
Mar 3011:59:19 pppsvada01 radiusd: Fri Mar 3011:59:192007 : Info: Starting - reading configuration files ...
Mar 3011:59:19 pppsvada01 radiusd: radiusd startup succeeded
Mar 3011:59:40 pppsvada01 radiusd: radiusd shutdown succeeded
Mar 3011:59:43 pppsvada01 radiusd: Fri Mar 3011:59:43 2007 : Info: Starting - reading configuration files ...
Mar 3011:59:43 pppsvada01 radiusd: Fri Mar 3011:59:43 2007 : Error: /etc/raddb/radiusd.conf[267]:Unexpected end of file
Mar 3011:59:43 pppsvada01 radiusd: Fri Mar 3011:59:43 2007 : Error: Errors reading radiusd.conf
Mar 3011:59:43 pppsvada01 radiusd: radiusd startup failed
/var/log/messages
-
8/2/2019 20070330-GET Radius-v1.0
45/51
45
Log dune requte proxy en mode radiusd -X
rad_recv: Access-Requestpacket from host 80.118.192.89:43255, id=151, length=209
User-Name = "usr1opt3@test.sfr.fr"CHAP-Password = 0x01128b8ff6bbebf100e98d95a0f5292e3f
NAS-IP-Address = 86.70.250.167
NAS-Identifier = "92def1-G2-2"
Framed-Compression = None
NAS-Port-Type = Virtual
NAS-Port = 2
Port-Limit = 0
Calling-Station-Id = "92def1-G2-201100100037"Acct-Session-Id = "0077904942"
Connect-Info = "OPT1-MAD-MAX"
NAS-Port-Id = "92def1-G2-2.1.At.1.1.1.1.37.1.37"
Proxy-State = 0x4f53432d457874656e6465642d49643d313531
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 73
modcall[authorize]: module "preprocess" returns ok for request 73
rlm_chap: Setting 'Auth-Type := CHAP'modcall[authorize]: module "chap" returns ok for request 73
rlm_realm: Looking up realm "test.sfr.fr" forUser-Name = "usr1opt3@test.sfr.fr"
rlm_realm: No such realm "test.sfr.fr"
modcall[authorize]: module "suffix" returns noop for request 73
users: Matched DEFAULT at 6
modcall[authorize]: module "files" returns ok for request 73
modcall: group authorize returns ok for request 73
-
8/2/2019 20070330-GET Radius-v1.0
46/51
46
Sending Access-Request of id 2 to10.143.214.20:1812
User-Name = "usr1opt3@test.sfr.fr"
CHAP-Password = 0x01128b8ff6bbebf100e98d95a0f5292e3f
NAS-IP-Address = 86.70.250.167
NAS-Identifier = "92def1-G2-2"Framed-Compression = None
NAS-Port-Type = Virtual
NAS-Port = 2
Port-Limit = 0
Calling-Station-Id = "92def1-G2-201100100037"
Acct-Session-Id = "0077904942"
Connect-Info = "OPT1-MAD-MAX"
NAS-Port-Id = "92def1-G2-2.1.At.1.1.1.1.37.1.37"Proxy-State = 0x4f53432d457874656e6465642d49643d313531
CHAP-Challenge = 0x572c6d143f4d21563be1ba588bd3b35f
Proxy-State = 0x313531
rad_recv: Access-Accept packet from host 10.143.214.20:1812, id=2, length=142
Proxy-State = 0x4f53432d457874656e6465642d49643d313531
Proxy-State = 0x313531
Reply-Message = "-"
Service-Type = Framed-UserTunnel-Assignment-Id:1 = "217.70.90.123"
Tunnel-Client-Auth-Id:1 = "clara-sfr"
Tunnel-Medium-Type:1 = IP
Tunnel-Password:1 = "password"
Tunnel-Preference:1 = 1
Tunnel-Server-Endpoint:1 = "217.70.90.123"
Tunnel-Type:1 = L2TP
-
8/2/2019 20070330-GET Radius-v1.0
47/51
47
Processing the post-proxy section of radiusd.conf
modcall: group post-proxy returns ok for request 73
authorize: Skipping authorize in post-proxy stage
rad_check_password: Found Auth-Type
rad_check_password: Auth-Type = Accept, accepting the user
radius_xlat: '-'
Processing the post-auth section of radiusd.conf
modcall: entering group post-auth for request 73modcall: group post-auth returns ok for request 73
Sending Access-Accept of id 151 to 80.118.192.89:43255
Reply-Message = "-"
Service-Type = Framed-User
Tunnel-Assignment-Id:1 = "217.70.90.123"
Tunnel-Client-Auth-Id:1 = "clara-sfr"
Tunnel-Medium-Type:1 = IP
Tunnel-Password:1 = "password"Tunnel-Preference:1 = 1
Tunnel-Server-Endpoint:1 = "217.70.90.123"
Tunnel-Type:1 = L2TP
Proxy-State = 0x4f53432d457874656e6465642d49643d313531
Finished request 73
-
8/2/2019 20070330-GET Radius-v1.0
48/51
48
Question ?
Hicham?
-
8/2/2019 20070330-GET Radius-v1.0
49/51
49
EAP/TLS
-
8/2/2019 20070330-GET Radius-v1.0
50/51
-
8/2/2019 20070330-GET Radius-v1.0
51/51
51
EAP/TLS
7- Le client et le serveur calculent une cl de chiffrement pour la session
principale ( partir des challenges changs)
8- Le client renvoi une rponse EAP vide et le serveur rpond par un message
EAP_success avec une cl de session pour la borne wifi.
9- A partir de cette cl de session la borne calcul une cl WEP ou WPA et
lenvoi au client.
Dans le cas dauthentification EAP/TLS la cl de session principale nest pas
utilise.
top related