freeRADIUS: Erro ao alterar a autenticação interna

Navegue suas respostas
0

Estou usando a versão 2 do freeRADIUS. Eu mudei com sucesso o tipo eap padrão.

Agora estou tentando alterar a autenticação interna porque preciso de pap como padrão.

Eu tentei alterar a autenticação interna para ttls, mas isso acontece: 

   ttls {
    default_eap_type = "pap"
    copy_request_to_tunnel = no
    use_tunneled_reply = no
    virtual_server = "inner-tunnel"
    include_length = yes
   }
rlm_eap_ttls: Unknown EAP type pap
rlm_eap: Failed to initialize type ttls
/usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module "eap"
/usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module "eap".
/usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section. 

Eu também tentei alterar a autenticação interna do peap, mas o mesmo problema de antes: 

   peap {
    default_eap_type = "pap"
    copy_request_to_tunnel = no
    use_tunneled_reply = no
    proxy_tunneled_request_as_eap = yes
    virtual_server = "inner-tunnel"
    soh = no
   }
rlm_eap_peap: Unknown EAP type pap
rlm_eap: Failed to initialize type peap
/usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module "eap"
/usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module "eap".
/usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section. 

Por que não reconhece pap? Obrigado.

    
por JohnLocke 20.04.2017 / 13:09

1 resposta

0

A questão é que o PAP não é um tipo de EAP. PAP é um tipo de autenticação.

O EAP-TTLS é o único tipo de EAP amplamente usado que pode usar um PAP interno, então estou assumindo que você está usando isso.

Quando o servidor processa o EAP-TTLS, ele extrai os atributos dentro do túnel TLS do EAP-TTLS e cria atributos RADIUS deles. Em seguida, ele 'faz proxy' de uma solicitação que contém esses atributos (possivelmente mesclados com aqueles do pacote RADIUS transportando EAP) e os envia para outro servidor virtual (o padrão é 'túnel interno').

Para realizar a autenticação PAP no túnel interno, você precisa configurar o PAP como faria para o RADIUS.

etc / raddb / sites-disponíveis / túnel interno 

server inner-tunnel {
    authorize {
        ldap | sql | files | whichever module you use to retrieve passwords

        pap
    }

    authenticate {
        pap
    }
}

Nota: Você também precisa selecionar PAP como o método interno no suplicante. Não há como negociar se o suplicante usa um método EAP interno ou o PAP / CHAP / MSCHAPv2 usa atributos de túnel. O suplicante envia atributos, o servidor acompanha o que envia. Se o suplicante enviar um atributo EAP-Message e o módulo EAP estiver configurado, o servidor fará o EAP. Se o suplicante enviar um atributo User-Password e o módulo PAP estiver configurado, o servidor fará o PAP.

Isso é diferente do EAP, em que o suplicante e o servidor podem negociar o método EAP. Há várias trocas de exemplos em RFC5281 , onde você pode ver os diferentes atributos enviados.

    
por 20.04.2017 / 13:31

Tags

É um buffer sempre na fila de hash? Tentando montar e recuperar dados de um HDD de DVD / gravador