Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Freeradius mit ApacheDS

Mitglied: synex-m

synex-m (Level 1) - Jetzt verbinden

23.07.2019 um 17:58 Uhr, 319 Aufrufe, 4 Kommentare

Hallo zusammen,

ich brauche mal eure Expertise.

Ich habe in meinem kleinen Netzwerk auf einem Raspberry Pi einen Freeradius Server und einen Apache Directory Server installiert und ich habe nach langem Kampf es geschafft, dass LDAP-Nutzer im Netzwerk angemeldet werden können.
Allerdings funktionieren die Logins nur mit Passwörtern, die im Klartext im LDAP hinterlegt sind. Hinterlege ich stattdessen einen Passwort-Hash (z.B. sha512..) funktioniert der Login überhaupt nicht mehr.

Meine User-Struktur:
01.
dn: cn=test,ou=users,dc=example,dc=de
02.
...
03.
objectclass: inetOrgPerson
04.
...
05.
radiusProfileDn: uid=vlan,ou=profiles,...
06.
cn: test
07.
description: user
08.
givenname: test
09.
sn: test
10.
uid: test
11.
mail: test@test.de
12.
userPassword: {SHA512}ABC...
Funktioniert das überhaupt mit gehashten Passwörtern oder mache ich da noch was falsch? Ich hoffe mir kann da einer weiterhelfen

Viele Grüße
Mitglied: Dani
23.07.2019 um 18:10 Uhr
Moin,
erst einmal zu den Basics:
Welches Betiebssystem kommt zum Einsatz?
Welche Version von FreeRadius hast du installiert?
Welche Version von ApacheDS hast du installiert?
Was steht im Logfile vom FreeRadius? Das ist durch aus interessant, da ich folgendes Issue bei FreeRadius gefunden habe.


Gruß,
Dani
Bitte warten ..
Mitglied: synex-m
23.07.2019 um 19:57 Uhr
Hi,

also auf dem Pi läuft Raspian Stretch, Freeradius läuft in der Version 3.0.12, ApacheDS in der Version 2.0.0.M24.

Hier ein Auszug aus dem Logfile (ich denke mit der relevanten Stelle):

01.
(8) ldap: Processing user attributes
02.
(8) ldap: control:Password-With-Header += '{SHA256}n4bQgYhMfWWaL+qgxVrQFaO/TxsrC4Is0V1sFbDwCgg='
03.
rlm_ldap (ldap): Released connection (5)
04.
rlm_ldap (ldap): Need 1 more connections to reach 10 spares
05.
rlm_ldap (ldap): Opening additional connection (7), 1 of 30 pending slots used
06.
rlm_ldap (ldap): Connecting to ldap://localhost:10389
07.
rlm_ldap (ldap): Waiting for bind result...
08.
rlm_ldap (ldap): Bind successful
09.
(8)       [ldap] = updated
10.
(8)       [expiration] = noop
11.
(8)       [logintime] = noop
12.
(8) pap: Converted: &control:Password-With-Header -> &control:SHA2-Password
13.
(8) pap: Removing &control:Password-With-Header
14.
(8) pap: Normalizing SHA2-Password from base64 encoding, 44 bytes -> 32 bytes
15.
(8) pap: WARNING: Auth-Type already set.  Not setting to PAP
16.
(8)       [pap] = noop
17.
(8)     } # authorize = updated
18.
(8)   Found Auth-Type = eap
19.
(8)   # Executing group from file /etc/freeradius/3.0/sites-enabled/inner-tunnel
20.
(8)     authenticate {
21.
(8) eap: Expiring EAP session with state 0x468a694746e4738b
22.
(8) eap: Finished EAP session with state 0x468a694746e4738b
23.
(8) eap: Previous EAP request found for state 0x468a694746e4738b, released from the list
24.
(8) eap: Peer sent packet with method EAP MSCHAPv2 (26)
25.
(8) eap: Calling submodule eap_mschapv2 to process data
26.
(8) eap_mschapv2: # Executing group from file /etc/freeradius/3.0/sites-enabled/inner-tunnel
27.
(8) eap_mschapv2:   authenticate {
28.
(8) mschap: WARNING: No Cleartext-Password configured.  Cannot create NT-Password
29.
(8) mschap: WARNING: No Cleartext-Password configured.  Cannot create LM-Password
30.
(8) mschap: Creating challenge hash with username: test
31.
(8) mschap: Client is using MS-CHAPv2
32.
(8) mschap: ERROR: FAILED: No NT/LM-Password.  Cannot perform authentication
33.
(8) mschap: ERROR: MS-CHAP2-Response is incorrect
34.
(8)     [mschap] = reject
35.
(8)   } # authenticate = reject
36.
(8) eap: Sending EAP Failure (code 4) ID 110 length 4
37.
(8) eap: Freeing handler
38.
(8)       [eap] = reject
39.
(8)     } # authenticate = reject
40.
(8)   Failed to authenticate the user
41.
(8)   Using Post-Auth-Type Reject
42.
(8)   # Executing group from file /etc/freeradius/3.0/sites-enabled/inner-tunnel
43.
(8)     Post-Auth-Type REJECT {
44.
(8) attr_filter.access_reject: EXPAND %{User-Name}
45.
(8) attr_filter.access_reject:    --> test
46.
(8) attr_filter.access_reject: Matched entry DEFAULT at line 11
47.
(8)       [attr_filter.access_reject] = updated
48.
(8)       update outer.session-state {
49.
(8)         &Module-Failure-Message := &request:Module-Failure-Message -> 'mschap: FAILED: No NT/LM-Password.  Cannot perform authentication'
50.
(8)       } # update outer.session-state = noop
51.
(8)     } # Post-Auth-Type REJECT = updated
52.
(8) } # server inner-tunnel
53.
(8) Virtual server sending reply
54.
(8)   MS-CHAP-Error = "nE=691 R=1 C=e375e88fb87190fb1f7f9bcc63eb3791 V=3 M=Authentication failed"
55.
(8)   EAP-Message = 0x046e0004
56.
(8)   Message-Authenticator = 0x00000000000000000000000000000000
57.
(8) eap_peap: Got tunneled reply code 3
58.
(8) eap_peap:   MS-CHAP-Error = "nE=691 R=1 C=e375e88fb87190fb1f7f9bcc63eb3791 V=3 M=Authentication failed"
59.
(8) eap_peap:   EAP-Message = 0x046e0004
60.
(8) eap_peap:   Message-Authenticator = 0x00000000000000000000000000000000
61.
(8) eap_peap: Got tunneled reply RADIUS code 3
62.
(8) eap_peap:   MS-CHAP-Error = "nE=691 R=1 C=e375e88fb87190fb1f7f9bcc63eb3791 V=3 M=Authentication failed"
63.
(8) eap_peap:   EAP-Message = 0x046e0004
64.
(8) eap_peap:   Message-Authenticator = 0x00000000000000000000000000000000
65.
(8) eap_peap: Tunneled authentication was rejected
66.
(8) eap_peap: FAILURE
67.
(8) eap: Sending EAP Request (code 1) ID 111 length 46
68.
(8) eap: EAP session adding &reply:State = 0x41a2f08249cde98e
69.
(8)     [eap] = handled
70.
(8)   } # authenticate = handled
71.
(8) Using Post-Auth-Type Challenge
72.
(8) Post-Auth-Type sub-section not found.  Ignoring.
73.
(8) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
74.
(8) session-state: Saving cached attributes
75.
(8)   Module-Failure-Message := "mschap: FAILED: No NT/LM-Password.  Cannot perform authentication"
76.
(8) Sent Access-Challenge Id 200 from 192.168.2.23:1812 to 192.168.2.24:56215 length 0
77.
(8)   EAP-Message = 0x016f002e1900170303002354f06bdaf99d19ab1b6ddfa3252f85c8c8d4530436686c4dedb6503439559fb71e2808
78.
(8)   Message-Authenticator = 0x00000000000000000000000000000000
79.
(8)   State = 0x41a2f08249cde98e3c8096d1cd959d8c
80.
(8) Finished request
Den Link hatte ich auch schon gefunden und verschiedene Hashes ausprobiert, um auszuschließen, dass ich auch so einen "Sonntagshash" erwischt habe . Leider ohne Erfolg.
Bitte warten ..
Mitglied: BitBurg
LÖSUNG 23.07.2019, aktualisiert um 21:26 Uhr
Hi synex-m,

PEAP/EAP-MSCHAPv2 funktioniert nur mit entweder Klartext-Passwörtern oder deren NT-Hashes. MS-CHAPv2 kann mit anderen Werten nichts anfangen. Der Chefentwicker von FreeRADIUS hat auf seiner Homepage eine Tabelle mit den Passwort-Formaten.

Protokollmatrix

BB
Bitte warten ..
Mitglied: synex-m
24.07.2019 um 15:54 Uhr
Ah..super..danke für die Info. Das ist es.
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
FreeRadius Lokal
Frage von D1-aB-loLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Firewall
PFSense 2.3.2 Freeradius
Frage von horstvogelFirewall7 Kommentare

Hallo, ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann. PFSense ...

LAN, WAN, Wireless
IOS 9 + Freeradius
Frage von mrserious73LAN, WAN, Wireless3 Kommentare

Guten Morgen zusammen, ihr kennt bestimmt das Problem: Seit iOS 9 ist Support für TLS 1.2 drin. Und - ...

LAN, WAN, Wireless

Freeradius + PostgreSQL, Verständnisfrage

Frage von mrserious73LAN, WAN, Wireless3 Kommentare

Hallo zusammen, möchte bald Freeradius in Verbindung mit PostgreSQL nutzen, um beides zusammen an einen WLAN-Controller zu binden. Bisher ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 14 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...