Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeraduis eap tls Zertifikatsproblem oder Falsche Configs?

Mitglied: bamboochaaa

bamboochaaa (Level 1) - Jetzt verbinden

16.09.2013, aktualisiert 17.09.2013, 2830 Aufrufe, 14 Kommentare

Hallo habe eine Problem mit freeradius und hoffe jemand kann mir hier ein paar Tips geben.

Aufbau:

Alcatel Switch mit Vlan10 Voice und VLAN 1 Data , die IP Telefone sollen sich per EAP-tls am freeradius authentifizieren und dann das VLAN 10 zugewiesen bekommen.

Betriebsystem ist Debian 7.1 mit dem dazugehörigen freeradius paket

Trage ich in der User Konfig einen user mit "cleartext" Passwort funktioniert das ganze auch ....

Ändere ich die /etc/freeradius/users.conf wie folgt ab:
"ALCIPT" Auth-Type := EAP, User-Password =="Password"
                Xylan-Auth-Group = 10
funktioniert dies nicht mehr. Mit freeradius -X bekomme ich diese Meldung:
ad_recv: Access-Request packet from host 192.168.1.251 port 1053, id=241, length=1250
	User-Name = "ALCIPT"
	NAS-IP-Address = 192.168.1.251
	State = 0x4fa035f24ba5384d541966e42784972a
	NAS-Port = 1013
	NAS-Port-Type = Ethernet
	Calling-Station-Id = "00809fb143a6"
	EAP-Message = 0x020504720d8000000468160301031a0b0003160003130003103082030c308201f6a00302010202103a51919bbe5a7e7b0da64f31d234818f300b06092a864886f70d0101053055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f72697479311530130603550403130c57697265642050686f6e6573301e170d3131303830333036333631345a170d3331303830333036333631345a3055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f7269747931
	EAP-Message = 0x1530130603550403130c30303830394642313433413630819f300d06092a864886f70d010101050003818d0030818902818100a7439a3feef9a23fa8b752d65bb49b0d26c4a3895c899b6f41433413a6bb9ad870d07bda958290de229ef438f79caa1eb0c5d19498fb1d7a248cf74a8ab3f1cd4b48d90ea9705b9c6f900d6dc294c46753e7fff83e5539847783eeded5dadbe1327abfd5eac8ebb0aeda550a0071dde1a32f7eda1ff6291d3903bd63eb36ec630203010001a360305e300c0603551d130101ff04023000300e0603551d0f0101ff0404030205a0301d0603551d250416301406082b0601050507030206082b06010505070301301f0603
	EAP-Message = 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
	EAP-Message = 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
	EAP-Message = 0x46e428e0d40994eab0d822ec8f3e243df9a338ef047e710b88fb5be0319bae7128c5d4acd8386e4e619b855f246e34ef65221c3778e21868016b033e647a835f1c2053fee7bff9312e258f1403010001011603010028dc0ce5015697c2c7c7aa88b97259d0bc89cbe85c844bc6fef5ae2d88ffc0cbb3fcbf2066186ab0e7
	Message-Authenticator = 0x7a127f852e05c34e2a79a20b57061a31
	Service-Type = Framed-User
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 5 length 253
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.
[files] users: Matched entry ALCIPT at line 114
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/tls
[eap] processing type tls
[tls] Authenticate
[tls] processing EAP-TLS
  TLS Length 1128
[tls] Length Included
[tls] eaptls_verify returned 11 
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.
TLS receive handshake failed during operation
[tls] eaptls_process returned 4 
[eap] Handler failed in EAP/tls
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] 	expand: %{User-Name} -> ALCIPT
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 5 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 5
Sending Access-Reject of id 241 to 192.168.1.251 port 1053
	EAP-Message = 0x04050004
	Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 2.7 seconds.
Cleaning up request 0 ID 236 with timestamp +32
am Ende wird der Access abgelehnt.

Verwirrt bin ich über diese beiden Meldungen:
suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"
und
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.
Sieht für mich so aus als wäre es ein Zertifikatsproblem ......
Da ich kein Linux Guru bin sondern von der TK.System Seite komme, hab ich es wie in dieser Anleitung beschrieben folgende Befehle ausgeführt:
cd /etc/freeradius
mkdir certs
cd certs
mkdir CA
cd CA
mkdir certs
mkdir crl
mkdir newcerts
mkdir private
mkdir users
echo '01' > serial
touch index.txt
cp /etc/ssl/openssl.cnf openssl.cnf
Jetzt kommen die Zertifikate was aber genau jeder dieser Befehle macht kann ich nicht sagen
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 1095 – config openssl.cnf

openssl pkcs12 -export -in cacert.pem -inkey private/cakey.pem -out caroot.p12 -cacerts -descert

openssl pkcs12 -in caroot.p12 -out caroot.pem

openssl req -nodes -new -x509 -keyout radius-req.pem -out
radius-req.pem -days 730 -config openssl.cnf

openssl x509 -x509toreq -in radius-req.pem -signkey radius-req.pem -out radius-tmp.pem

openssl ca -config openssl.cnf -policy policy_anything -out
radius-cert.pem -infiles radius-tmp.pem

openssl dhparam -out dh1024.pem 1024
Bei allen Passwort Abfragen habe ich das selbe Passwort benutzt.

Die Zertifikate der IP Telefone habe ich wie in der Anleitung beschrieben nach /etc/freeradius/certs/CA/ kopiert und diesen Befehl ausgeführt:
cat /etc/freeradius/certs/CA/cacert.pem AIPT_BASE64/aipt*.pem
Alcatel\ Enterprise\ Solutions.pem Alcatel\ IP\ Touch.pem >>
/etc/freeradius/certs/CA/cacerts.pem
Änderung in der /etc/freeradius/eap.conf :
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_file = ${certdir}/CA/radius-req.pem
certificate_file = ${certdir}/CA/radius-cert.pem
CA_file = ${certdir}/CA/cacerts.pem
dh_file = ${certdir}/CA/dh1024.pem
random_file = ${certdir}/CA/dh1024.pem
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
}
Falls jemand den Fehler sieht oder Tips zur Fehlesuche beisteuern kann wäre ich echt dankbar.

Eventuell findet sich ja auch jemand der mir die Zertifikatsbefehle etwas erläutern kann ......

Hier im Forum gibt's es eine Anleitung zum Thema freeradius und Wlan leider konnte sie mir an dieser stelle auch nicht weiter helfen

Mfg Bamboochaaa
Mitglied: aqui
17.09.2013 um 09:36 Uhr
Es gibt auch eine Anleitung für LAN Switches und 802.1x !!
Die hast du gelesen ?? Sie beschreibt die Einrichtung im Detail !!
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Den Realm error kannst du ignorieren aber nicht den Zertifikats Error !
Der Radius findet in der Tat das Zertifikat nicht !! Da stimmen deinen Pfade also nicht.
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 18:51 Uhr
Ja den habe ich gelesen ich nutze aber Debian 7.1 mit dazugehöriges paket da heißen die Dateien etwas anders ich werde nochmal die configs durch schauen und dann die Zertifikate neu erstellen ........mal sehen ob es dann

Was ich aber noch nicht verstehe mein user sieht so aus:


"ALCIPT" Auth-Type := EAP, User-Password =="Password"
Xylan-Auth-Group = 10

in der users aus der guide gibt es aber nur solche einträge:

"User" Cleartext-Password := "user"

Noch eine andere Frage bei der Zertifikat Erstellung wird oft der Zusatz -config openssl.cnf verwendet wenn jetzt in der openssl.cnf falsche Einstellungen sind ist dann das ganze Zertifikat falsch ?
Bitte warten ..
Mitglied: aqui
17.09.2013 um 18:56 Uhr
Eigentlich kann das nicht sein ! Die Anleitung basiert auf einem Wheezy !
Die Auth Group 10 ist komisch. Ist mir im Radius Bereich noch nicht untergekomme. Hast du das denn nicht eingerichtet ??
Für 802.1x ist das auf alle Fälle falsch !
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 19:14 Uhr
Ich habe Debian installiert dann dies freeradius source paket von http://packages.debian.org/unstable/net/freeradius heruntergeladen und mit dpkg-source -x *.dsc extrahiert so wies in meiner Anleitung stand ......

Xylan-Auth-Group = 10 bedeutet das dem port bei erfolgreicher Authentifizierung das vlan 10 zugewiesen wird dieses Attribut ist für den Alcatel Omniswitch an dem das IP Telefon angeschlossen wird
Bitte warten ..
Mitglied: aqui
19.09.2013 um 19:34 Uhr
Schon komisch, denn das ist bar jeglichen Standards. Für standard 802.1x sieht das so aus wie im Tutorial beschrieben.
Der Omniswitch scheint dann da nicht standardkonform zu sen wenn das über ein Vendor specific Attribute geht ?!
Bitte warten ..
Mitglied: bamboochaaa
21.09.2013 um 13:21 Uhr
Ja das scheint ein Eintrage extra für den Omniswitch zu sein.

Das ganze habe ich nach dieser Anleitung eingerichtet:

http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html
Bitte warten ..
Mitglied: Gamerfreund
16.01.2015 um 15:15 Uhr
Hallo,
ich versuche auch gerade, Alcatel Telephone mit 802.1x zu authentifizieren, mir fehlt aber ein Zertifikat

~~~~~~
Certificates provided by Alcatel-Lucent contain only public keys:
...
•aipt[1-8].pem

~~~~~~

Kann mir jemand sagen, was ich das (die?) Certs aipt[1-8].pem herbekomme? Hab das gesamte Internet abgegrast - ohne Erfolg.

Danke!


/Gamerfreund
Bitte warten ..
Mitglied: aqui
16.01.2015, aktualisiert um 20:23 Uhr
Das bekommst du wie immer problemlos über den Hersteller der Telefone. Frag also den oder das Systemhaus das dir diese verkauft hat !
Ist aber schon unüblich und auch komisch, denn du müsstest ja bei den zertifikaten jemand Fremden vertrauen. Das konterkariert eigentlich das gesamte Sicherheitskonzept.
Alle Telefone am Markt lassen einen eigenen Zertifikats Import zu sei es über GUI, TFTP oder den Call Manager beim Booten.
Das solltest du nochmal genauestens nachfragen ob das stimmt. Kann man eigentlich nicht glauben...
Bitte warten ..
Mitglied: Gamerfreund
17.01.2015 um 12:52 Uhr
Hey aqui,
du hast völlig recht, eigene certs wären natürlich besser..andererseits landen die im voice vlan und das ist stark eingeschränkt. Würds halt gern erstmal ans laufen kriegen und ärgere mich das mir das cert fehlt...
Bitte warten ..
Mitglied: aqui
17.01.2015 um 20:55 Uhr
andererseits landen die im voice vlan und das ist stark eingeschränkt.
Ahem...was hat das jetzt mit der Frage zu tun ?! Verwirrung ?

Bastel dir doch selber eins. OpenSSL ist wie immer dein Freund
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 10:09 Uhr
sind das nicht irgendwelche Alcatel Intermediate Zertifikate? Wie kann ich mir die basteln; wurden die nicht von der Root CA incl. private key ausgestellt? Wie geagt, die Idee wäre, die Alcatel Certs erstmal auf den Telefonen zu lassen (und das zurecht von dir angesprochene Security Risiko vorerst zu ignorieren.)
Bitte warten ..
Mitglied: aqui
19.01.2015 um 14:32 Uhr
Wenn das einzig nur mit Alcatel Certs geht hast du keinen Chance. Wäre aber sehr sehr ungewöhnlich, denn dann müsstest du Alcatel blind vertrauen...kein Mensch macht das im Kryptobereich sich Zerts von Fremden genieren zu lassen !
Ist so wenn du dir Zertifikate von der NSA machen lässt und die dir sagt das nur ihre auf deinen rechnern laufen....
Das kann niemals stimmen, denn es konterkariert den Sinn (und Unsinn) von Zertifikaten.
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 15:18 Uhr
wie gesagt, ich verstehe deine Bedenken zu 1000%. Um die allgemeine Funktionalität der gesamten 802.1x Infrastruktur zu testen, wäre es aber zwischenzeitlich eine angenehme Lösung. Vielleicht hab ich auch die Anleitung (http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html) nicht verstanden, denn genau das wird doch da beschrieben,oder nicht?
Bitte warten ..
Mitglied: aqui
19.01.2015, aktualisiert um 16:51 Uhr
Fazit also: Hotline bei deiner nächstegelgenen Alcatel Geschäftsstelle anrufen und sich die Zerts zumailen lassen

P.S.: Dein Link oben führt zu einer weissen und leeren Webseite !
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 21 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 1 TagSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 2 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless21 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Windows Server
Mac Rechner im Windows Netzwerk - was jetzt?
gelöst Frage von Kopfg3ldWindows Server18 Kommentare

Hallo zusammen, ich habe folgende Herausforderungen. Aber erst mal was kurz zum Netzwerk - Windows Server (ältester ist ein ...

Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office14 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...