0sindbad0
Goto Top

Freeradius mit mariadb verweigert Authentifizierung

Moin,

ich habe unter einem Hyper-V eine Debian 9 Installation mit freeradius, daloradius und mariadb. Soweit läuft das Ganze wie gewünscht. Dann steht im NAS plötzlich
"Die wiederholten Authentifizierungsversuche von User[MAC] beim Beitreten...schlugen fehl" und eine Anmeldung ist nicht mehr möglich. Im Radiuslog versucht im 30 Sekundenrythmus ein anderer Client sich zu verbinden, was laut Log auch klappt. Diese Client hatte sich auch schon morgens angemeldet, ohne Probleme. Auch andere Clients haben solche Authentifizierungsversuche alle 30 Sekunden fabriziert, aber eben auch nicht immer.


Mon Jul 22 09:52:37 2019 : Auth: (5130) Login OK: [Bernd/<via Auth-Type = eap>] (from client NAS port 0 via TLS tunnel)
Mon Jul 22 09:52:37 2019 : Auth: (5131) Login OK: [Bernd/<via Auth-Type = eap>] (from client NAS port 45 cli aa-bb-cc-dd-ee-ff)
...

...
Mon Jul 22 11:02:53 2019 : Auth: (6345) Login OK: [Bernd/<via Auth-Type = eap>] (from client NAS port 0 via TLS tunnel)
Mon Jul 22 11:02:53 2019 : Auth: (6346) Login OK: [Bernd/<via Auth-Type = eap>] (from client NAS port 96 cli aa-bb-cc-dd-ee-ff)


Zwischendrin reihen sich noch andere Nutzer in diesen 30 sekündigen Takt ein, nutzen dann scheinbar aber die alte WPA2 SSID.

Ich finde nichts aussagekräftiges im radius.log oder NAS. Ich hatte die Speicherverwaltung des Hyper-V in Verdacht, da hier dynamischer Speicher steht und dieser immer mehr fordert, als ich ihm zuweise. Im Debian TOP dann allerdings die kleinste Menge von 1G steht.

Ich vermute durch diese ständige Anmelderei wird der Radius oder etwas anderes belegt und es kommt zu einem Fehlschlag, nicht zu einem reject. Dieser steht aber nicht im radiuslog, nur im NAS. Das NAS gibt aber auch nicht an, dass es den RADIUS nicht erreicht.

Kann mir jemand einen Tip geben, was oder wo ich noch schauen soll?

Als Plan B werde ich den Radius aus der pfsense nutzen und nur die user.conf ohne sql nutzen. Mehr brauchen wir aktuell nicht, wollte mit dem sql nur aussagekräftiger sein bezüglich Bandbreitennutzung.

Danke!

Content-ID: 476360

Url: https://administrator.de/forum/freeradius-mit-mariadb-verweigert-authentifizierung-476360.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

lcer00
lcer00 22.07.2019 um 17:05:26 Uhr
Goto Top
Hallo,

die Sache mit dem Dynamischen RAM bei Debian in hyperv funktioniert bei mir auch nicht immer. Für meine Elastic Stack VMs habe ich deshalb den Speicher fest zugewiesen.

Das Paket hyperv-daemons hast Du installiert? Außerdem ist ein ntp-Client hilfreich, der zur Not die Zeit nachkorrigiert. Jedenfalls würde ich die Systemzeit checken.

Grüße

lcer
aqui
aqui 23.07.2019 um 10:22:49 Uhr
Goto Top
Am besten den FreeRadius mal mit -X im Debug Mode starten um präzisere Ursachenforschung zu betreiben.
Freeradius Management mit WebGUI
0sindbad0
0sindbad0 23.07.2019 um 10:44:52 Uhr
Goto Top
Danke für deine Hilfe. ntp läuft, Zeit scheint zu stimmen. Zeitsync zwischen Hyper-v und VM habe ich abgeschalten, weil das das Log gefüllt hat. Nach dem Fehler habe ich heute die hyperv-deamons installiert und den Arbeitsspeicher fest auf 2G festgelegt sowie die MAC auf statisch gestellt.
0sindbad0
0sindbad0 23.07.2019 um 11:03:42 Uhr
Goto Top
Hallo aqui,
da habe ich auch nichts gefunden, wobei ich mit der Sichtung der Ausgabe etwas zu kämpfen hatte.

Ich habe aber bemerkt, dass ich

!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !!

aus deiner Anleitung nicht umgesetzt habe. Ich könnte mir vorstellen, dass das eine Art Schleife erzeugen könnte. Wobei es ja eine Weile auch ohne diese Parameter ging.

Ich werde den Debugmodus noch einmal anwerfen und versuchen, einen Vorgang zu erwischen.

Danke
0sindbad0
0sindbad0 23.07.2019 um 16:02:38 Uhr
Goto Top
Ich habe die Ausgabe mal als Textdatei gespeichert und hier abgelegt.

freeradius debugausgabe

Der Text ging hier nicht ins Forum rein. User Niels versucht sich, es gibt keine Fehlermeldung im NAS.
Ich erkenne da gar nichts. Es sieht etwas wurschtelig aus in Bezug auf EAP. Evtl habe ich da Fehlkonfigurationen.
lcer00
lcer00 23.07.2019 um 18:51:08 Uhr
Goto Top
Also ich sehe in der Ausgabe keinen Fehler, keine Ablehnung der Verbindung etc. Dafür 252x success

Das würde bedeuten, dass der Radius alles richtig macht und den Benutzer korrekt authentifiziert. Unter diesen Umständen würde ich mich anderweitig nach Fehlern umsehen.

Welches NAS? Was ist dort eingestellt.

Grüße

lcer
0sindbad0
0sindbad0 23.07.2019 um 21:12:16 Uhr
Goto Top
Ja, alle 30 Sekunden der gleiche User. Und das halte ich für nicht normal. Ein nicht erfolgter Versuch war leider nicht dabei
NAS ist ein Zonedirector 1200
nas
0sindbad0
0sindbad0 29.08.2019 um 10:51:16 Uhr
Goto Top
Moin,
ich bin etwas weiter gekommen. Ursache scheint die dynamische VLAN Zuweisung zu sein. Ich habe ein komplett neues Debian mit dem darin enthaltenen freeradius installiert und die user in die users.conf eingetragen. Selbst das hat nicht geholfen. Erst der Haken bei dyn.Vlan raus gab Ruhe.

In diesem Zusammenhang habe ich auch nochmal den Hinweis in aquis Anleitung gelesen. Ich war der Meinung, dass ich das umgesetzt hatte. Allerdings ist im aktuellen Freeradius diese Funktion scheinbar abgekündigt:

Instead of use_tunneled_reply, uncomment the next two update blocks.

update {
&outer.session-state: += &reply:
}


Vielleicht kann das in die Anleitung eingearbeitet werden.

Hier stehe ich aktuell. Ziel ist es, wieder die Datenbank zu nutzen und wenn es denn geht auch die dynamische VLAN Zuweisung zum Laufen zu bekommen. Dazu werde ich debian neu aufsetzen, da es hier einen Versionssprung gab, und das Ganze von vorn konfigurieren.

Vielleicht kann jemand erklären, warum die user hier in eine Art Schwingen gekommen sind. Die Antworten waren ja immer Accept, geklappt hat es nur Anfangs, dann fing irgendein User an sich sekündlich, oder aller halbe Minute zu Authentifizieren und es ging nichts mehr.

Danke für eure Zeit.
Grüße
aqui
aqui 30.08.2019, aktualisiert am 02.09.2019 um 10:42:58 Uhr
Goto Top
Erst der Haken bei dyn.Vlan raus gab Ruhe.
In Bezug auf FreeRadius ist das aber Blödsinn, denn dort gibt es so einen Haken gar nicht !
Du meinst vermutlich den Switch, oder ?
Ich war der Meinung, dass ich das umgesetzt hatte.
Einfach nur der Meinung sein reicht in der IT wie immer nicht ! Man sollte es wenn schon dann "genau" wissen... face-wink
Allerdings ist im aktuellen Freeradius diese Funktion scheinbar abgekündigt:
Auch das ist natürlich barer Unsinn und du solltest sowas nicht auch noch in einem Admin Forum verbreiten. Das ist ein schon seit jahren weltweit standartisiertes Verfahren auf jeglichen Radius Servern. Wenn beispielsweise im FreeRadius in der users.conf ein:
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = <VLAN ID>

unter dem betreffenden User steht, dann dann wird diesem bei der Port Authentisierung mit Dot 1x automatisch das VLAN mit der unter <VLAN ID> eingetragenen Nummer vergeben.
Natürlich funktioniert so ein grundelgendes Feature auch im aktuellen FreeRadius. Woher hast du diesen Unsinn das dem nicht so sein sollte ?!

Warum testest du es nicht erst einmal mit statischer Konfig ohne Datenbank aus bis es sauber funktioniert ! So weisst du doch das der Radius an sich dann NICHT mehr das Problem ist bevor du ihn an eine Datenbank flanschst.
0sindbad0
0sindbad0 02.09.2019 aktualisiert um 10:39:32 Uhr
Goto Top
Charmant wie immer face-smile

Ich meinte das NAS.

Jaja.

Vielleicht habe ich den Text nicht verständlich genug geschrieben. Liegt ja immer am Sender. Zitat:

...Allerdings ist im aktuellen Freeradius diese Funktion scheinbar abgekündigt:

Instead of use_tunneled_reply, uncomment the next two update blocks.

update {
&outer.session-state: += &reply:
}

Vielleicht kann das in die Anleitung eingearbeitet werden....


Das war meine Aussage. Das steht in

/etc/freeradius/3.0/mods-available/eap
...
                #
                #  As of version 3.0.5, this configuration item
                #  is deprecated.  Instead, you should use
                #
                #       update outer.session-state {
                #               ...
                #
                #       }
                #
                #  This will cache attributes for the final Access-Accept.
                #
                #  The reply attributes sent to the NAS are usually
                #  based on the name of the user 'outside' of the  
                #  tunnel (usually 'anonymous').  If you want to send  
                #  the reply attributes based on the user name inside
                #  of the tunnel, then set this configuration entry to
                #  'yes', and the reply to the NAS will be taken from  
                #  the reply to the tunneled request.
                #
                #  allowed values: {no, yes}
                #
#               use_tunneled_reply = no
use_tunneled_reply = yes
...
aqui
aqui 02.09.2019 um 10:45:14 Uhr
Goto Top
Dann mal den FreeRadius über die Shell manuell mit dem Parameter -X im Debug Mode starten, dann einen .1x Request auslösen und mal checken was der Debugger sagt ?!
Dann ist im Handumdrehen klar woran es liegt... face-wink