Freeradius Abfrag mit Realm schlägt fehl.

Mitglied: dassven

dassven (Level 1) - Jetzt verbinden

03.09.2011, aktualisiert 18.10.2012, 3847 Aufrufe, 6 Kommentare

Der Freeradius macht nur teilweise Abfragen ohne Realm.

Hallo,

ich nutze den Freeradius und MySQL, um Authentifizierung, Authorisierung und Accountig von PPPoE einwahlen zu realisieren. Im MySQL ist ein User angelegt "admin.sven". Die passende Einwahl vom PPPoE Client lautet "admin.sven@domain.com". Ich habe einen Realm "domain.com" angelegt. Mit einen radtest von dem Benutzer "admin.sven@domain.com", welches der PPPoE Client auch benutzt, wird im Log angezeigt, dass der Realm abgeschnitten wird. Es wird auch nur in der DB abgefragt von dem Benutzer "admin.sven". Am Ende vom Log steht dann wieder, dass ber Benutzer "admin.sven@domain.com" nicht gefunden wurde. Am Anfang der Query Kette vom MySQL wird immer der User "admin.sven" abgerufen. weiter unten dann plötzlich der User "admin.sven@domain.com".
Kann mir jemand erklären, in welchem config File das versteckt ist ??

heraus kommen soll ein OK für die Authen....., Author....... und Accounting.

Hier sind noch die Logs vom RADDB & MySQL.

RADDB Log der Abfrage:
LogFile vom MySQL bei der Abfrage:
LG & Danke DS
Mitglied: Dani
04.09.2011, aktualisiert 18.10.2012
Moin Sven,
was ist nun der Unterschied zu diesem Beitrag.


Grüße,
Dani
Bitte warten ..
Mitglied: dassven
04.09.2011 um 17:54 Uhr
Hi Dani, Der Unterschied ist, dass ich in der Datenbankbank nur User anlege ohne den Ralm. also letztendlich ohne "@domain.com". ich dann das eigentliche Problem mit der URL in der APC nicht habe. Der Realm wird dann vom Benutzernamen gestrichen und es kommen anfragen nur vom ersten Teil des relevanten Benutzernamens. Scheine aber der einzige zu sein, der mittlerweile 8 oder 9 Lösungen in Angriff genommen hat, um das Problem zu lösen. Nachdem ich den Apache mit dem rewrite etc. den MySQL etc durchhabe, ist nur noch der Freeradius, der die Abfragen so umbauen kann, damit es funktioniert. Ich bin nur kreativ und denke über evtentuelle Lösungen nach, die mich voran bringen. Im Netz ist alles beschrieben, wie es funktioniert, und was man anwenden kann, Bin ja kein Linux Profi und hänge mmer an einem "kleinen Hacken", wo mir dann doch keiner weiter helfen kann.
Im Moment sieht es so aus, dass der Freeradius ein OK ausgibt für die Authentifizierung von Benutzer "123-12345-abx#001@domain.com", obwohl der Benutzer nur als "123-12345-abc" angelegt ist in der Datenbank.
Der Freeradius fragt die Authentifizierung ab, der User ist Online. Der Freeradius fragt dann aber plötzlich die Speed-Limit's, Trafficlimits mit dem vollständigen namen ab. Also mit Realm. Die Konfig ist aber zerstreut in einige Konfigurationsdateien, wo ich langsam die Zusammenhänge verliere.

Wenn also jemand die Konfig Files braucht, bin für jeden Kram bereit. Wenn es niemanden gibt, der ne Idee hat, ist das eigentlich auch nicht so schlimm. In anderen Foren siehts nicht anders aus. Leider.

MfG Sven
Bitte warten ..
Mitglied: exchange
04.09.2011 um 21:36 Uhr
Hallo Sven,
die Radius Abfragen stehen alle in einer sql Datei. Ich habe die damals auch für einen speziellen Zweck umgebaut und arbeite mit views in MySQL.

Wenn ich das richtig verstehe, funktioniert der Auth aber die übergebenen Werte nicht? Wenn ja, dann schaue Dir die Abfragen genau an, da steht bestimmt eine Funktion seitens Freeradius drin, welche alles hinter dem @ absägt.


Gruß
Heiko
Bitte warten ..
Mitglied: aqui
05.09.2011, aktualisiert 18.10.2012
Du kannst die Realm ignorieren lassen. Hier steht wie man das macht:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Bitte warten ..
Mitglied: dassven
06.09.2011 um 20:30 Uhr
Hallo, Ich glaub so nen hartnäckischen Typ wie mich gibts net. :D

Also, ich hab mal so alle SQL Files durch. Kein Erfolg, Aber mir ist was aufgefallen. Es handelt sich ja um eine "fertige" Software. Bin irgend wie über die Install gestolpert, und es werden ein paar ausführbare Dateien angelegt. Hätte ich im Log ja auch sehen können. Nur wenn man nicht drauf achtet, nunja Halt das Sympthom Wald & Bäume.
in der "users" wird ein "rmauth %{User-Name} %{nas} etc. angewiesen. Der Freeradius macht ja seine Abfrage mit dem "Stripped-User-Name". Dann kommt die Abfrage mit der "rmauth" und der übergabe vom %{User-Name}. Das ist natürlich der angegebene Username und nicht der Stripped. Bin schon einiges an variablen durchgegangen. %{SQL-User-Name} etc. nur da gabs keinen Erfolg. Hat jemand eine Ahnung, welche Variable man da nutzen muss, damit es der Stripped-User-Name" wird, der mit übergeben wird ??

Danke
Bitte warten ..
Mitglied: dassven
21.03.2012 um 07:23 Uhr
Zu diesem Thema fällt mir nichts mehr ein, Wer den Thread gelesen hat, ne zwischeninfo. Es ging um Authorisierung und Authentifizierung von PPPoE Geschichten. Problem bestand in dem "RadiusManager". Nach vielen Tests muss ich sagen, dass es doch ein verfrickeltes System ist. Zusätzliche ausführbare Files vom RadiusManager machen das ganze relativ konfigurationsuntauglich, wenn es um Realms geht. als Gegenlösung hab ich dazu eine kostenfreie Version gefunden mit Namen "DaloRadius". Arbeitet wunderbar, gaht aber ein wenig mehr in Administartive arbeit über (Man muss auch mal selber kleine Regeln erstellen). Als Netzwerkadmin sollte das mit Kenntnissen kein Problem sein.

in dem Sinne Good Luck mit den bits und bytes.
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 18 StundenFrageExchange Server28 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware8 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 1 TagFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...