Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeraduis eap tls Zertifikatsproblem oder Falsche Configs?

Mitglied: bamboochaaa

bamboochaaa (Level 1) - Jetzt verbinden

16.09.2013, aktualisiert 17.09.2013, 2743 Aufrufe, 14 Kommentare

Hallo habe eine Problem mit freeradius und hoffe jemand kann mir hier ein paar Tips geben.

Aufbau:

Alcatel Switch mit Vlan10 Voice und VLAN 1 Data , die IP Telefone sollen sich per EAP-tls am freeradius authentifizieren und dann das VLAN 10 zugewiesen bekommen.

Betriebsystem ist Debian 7.1 mit dem dazugehörigen freeradius paket

Trage ich in der User Konfig einen user mit "cleartext" Passwort funktioniert das ganze auch ....

Ändere ich die /etc/freeradius/users.conf wie folgt ab:
"ALCIPT" Auth-Type := EAP, User-Password =="Password"
                Xylan-Auth-Group = 10
funktioniert dies nicht mehr. Mit freeradius -X bekomme ich diese Meldung:
ad_recv: Access-Request packet from host 192.168.1.251 port 1053, id=241, length=1250
	User-Name = "ALCIPT"
	NAS-IP-Address = 192.168.1.251
	State = 0x4fa035f24ba5384d541966e42784972a
	NAS-Port = 1013
	NAS-Port-Type = Ethernet
	Calling-Station-Id = "00809fb143a6"
	EAP-Message = 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
	EAP-Message = 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
	EAP-Message = 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
	EAP-Message = 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
	EAP-Message = 0x46e428e0d40994eab0d822ec8f3e243df9a338ef047e710b88fb5be0319bae7128c5d4acd8386e4e619b855f246e34ef65221c3778e21868016b033e647a835f1c2053fee7bff9312e258f1403010001011603010028dc0ce5015697c2c7c7aa88b97259d0bc89cbe85c844bc6fef5ae2d88ffc0cbb3fcbf2066186ab0e7
	Message-Authenticator = 0x7a127f852e05c34e2a79a20b57061a31
	Service-Type = Framed-User
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 5 length 253
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.
[files] users: Matched entry ALCIPT at line 114
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/tls
[eap] processing type tls
[tls] Authenticate
[tls] processing EAP-TLS
  TLS Length 1128
[tls] Length Included
[tls] eaptls_verify returned 11 
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.
TLS receive handshake failed during operation
[tls] eaptls_process returned 4 
[eap] Handler failed in EAP/tls
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] 	expand: %{User-Name} -> ALCIPT
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 5 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 5
Sending Access-Reject of id 241 to 192.168.1.251 port 1053
	EAP-Message = 0x04050004
	Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 2.7 seconds.
Cleaning up request 0 ID 236 with timestamp +32
am Ende wird der Access abgelehnt.

Verwirrt bin ich über diese beiden Meldungen:
suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"
und
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.
Sieht für mich so aus als wäre es ein Zertifikatsproblem ......
Da ich kein Linux Guru bin sondern von der TK.System Seite komme, hab ich es wie in dieser Anleitung beschrieben folgende Befehle ausgeführt:
cd /etc/freeradius
mkdir certs
cd certs
mkdir CA
cd CA
mkdir certs
mkdir crl
mkdir newcerts
mkdir private
mkdir users
echo '01' > serial
touch index.txt
cp /etc/ssl/openssl.cnf openssl.cnf
Jetzt kommen die Zertifikate was aber genau jeder dieser Befehle macht kann ich nicht sagen
openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 1095 – config openssl.cnf
openssl pkcs12 -export -in cacert.pem -inkey private/cakey.pem -out caroot.p12 -cacerts -descert
openssl pkcs12 -in caroot.p12 -out caroot.pem
openssl req -nodes -new -x509 -keyout radius-req.pem -out
radius-req.pem -days 730 -config openssl.cnf
openssl x509 -x509toreq -in radius-req.pem -signkey radius-req.pem -out radius-tmp.pem
openssl ca -config openssl.cnf -policy policy_anything -out
radius-cert.pem -infiles radius-tmp.pem
openssl dhparam -out dh1024.pem 1024
Bei allen Passwort Abfragen habe ich das selbe Passwort benutzt.

Die Zertifikate der IP Telefone habe ich wie in der Anleitung beschrieben nach /etc/freeradius/certs/CA/ kopiert und diesen Befehl ausgeführt:
cat /etc/freeradius/certs/CA/cacert.pem AIPT_BASE64/aipt*.pem
Alcatel\ Enterprise\ Solutions.pem Alcatel\ IP\ Touch.pem >>
/etc/freeradius/certs/CA/cacerts.pem
Änderung in der /etc/freeradius/eap.conf :
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_file = ${certdir}/CA/radius-req.pem
certificate_file = ${certdir}/CA/radius-cert.pem
CA_file = ${certdir}/CA/cacerts.pem
dh_file = ${certdir}/CA/dh1024.pem
random_file = ${certdir}/CA/dh1024.pem
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
}
Falls jemand den Fehler sieht oder Tips zur Fehlesuche beisteuern kann wäre ich echt dankbar.

Eventuell findet sich ja auch jemand der mir die Zertifikatsbefehle etwas erläutern kann ......

Hier im Forum gibt's es eine Anleitung zum Thema freeradius und Wlan leider konnte sie mir an dieser stelle auch nicht weiter helfen

Mfg Bamboochaaa
Mitglied: aqui
17.09.2013 um 09:36 Uhr
Es gibt auch eine Anleitung für LAN Switches und 802.1x !!
Die hast du gelesen ?? Sie beschreibt die Einrichtung im Detail !!
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Den Realm error kannst du ignorieren aber nicht den Zertifikats Error !
Der Radius findet in der Tat das Zertifikat nicht !! Da stimmen deinen Pfade also nicht.
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 18:51 Uhr
Ja den habe ich gelesen ich nutze aber Debian 7.1 mit dazugehöriges paket da heißen die Dateien etwas anders ich werde nochmal die configs durch schauen und dann die Zertifikate neu erstellen ........mal sehen ob es dann

Was ich aber noch nicht verstehe mein user sieht so aus:


"ALCIPT" Auth-Type := EAP, User-Password =="Password"
Xylan-Auth-Group = 10

in der users aus der guide gibt es aber nur solche einträge:

"User" Cleartext-Password := "user"

Noch eine andere Frage bei der Zertifikat Erstellung wird oft der Zusatz -config openssl.cnf verwendet wenn jetzt in der openssl.cnf falsche Einstellungen sind ist dann das ganze Zertifikat falsch ?
Bitte warten ..
Mitglied: aqui
17.09.2013 um 18:56 Uhr
Eigentlich kann das nicht sein ! Die Anleitung basiert auf einem Wheezy !
Die Auth Group 10 ist komisch. Ist mir im Radius Bereich noch nicht untergekomme. Hast du das denn nicht eingerichtet ??
Für 802.1x ist das auf alle Fälle falsch !
Bitte warten ..
Mitglied: bamboochaaa
17.09.2013, aktualisiert um 19:14 Uhr
Ich habe Debian installiert dann dies freeradius source paket von http://packages.debian.org/unstable/net/freeradius heruntergeladen und mit dpkg-source -x *.dsc extrahiert so wies in meiner Anleitung stand ......

Xylan-Auth-Group = 10 bedeutet das dem port bei erfolgreicher Authentifizierung das vlan 10 zugewiesen wird dieses Attribut ist für den Alcatel Omniswitch an dem das IP Telefon angeschlossen wird
Bitte warten ..
Mitglied: aqui
19.09.2013 um 19:34 Uhr
Schon komisch, denn das ist bar jeglichen Standards. Für standard 802.1x sieht das so aus wie im Tutorial beschrieben.
Der Omniswitch scheint dann da nicht standardkonform zu sen wenn das über ein Vendor specific Attribute geht ?!
Bitte warten ..
Mitglied: bamboochaaa
21.09.2013 um 13:21 Uhr
Ja das scheint ein Eintrage extra für den Omniswitch zu sein.

Das ganze habe ich nach dieser Anleitung eingerichtet:

http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html
Bitte warten ..
Mitglied: Gamerfreund
16.01.2015 um 15:15 Uhr
Hallo,
ich versuche auch gerade, Alcatel Telephone mit 802.1x zu authentifizieren, mir fehlt aber ein Zertifikat

~~~~~~
Certificates provided by Alcatel-Lucent contain only public keys:
...
•aipt[1-8].pem

~~~~~~

Kann mir jemand sagen, was ich das (die?) Certs aipt[1-8].pem herbekomme? Hab das gesamte Internet abgegrast - ohne Erfolg.

Danke!


/Gamerfreund
Bitte warten ..
Mitglied: aqui
16.01.2015, aktualisiert um 20:23 Uhr
Das bekommst du wie immer problemlos über den Hersteller der Telefone. Frag also den oder das Systemhaus das dir diese verkauft hat !
Ist aber schon unüblich und auch komisch, denn du müsstest ja bei den zertifikaten jemand Fremden vertrauen. Das konterkariert eigentlich das gesamte Sicherheitskonzept.
Alle Telefone am Markt lassen einen eigenen Zertifikats Import zu sei es über GUI, TFTP oder den Call Manager beim Booten.
Das solltest du nochmal genauestens nachfragen ob das stimmt. Kann man eigentlich nicht glauben...
Bitte warten ..
Mitglied: Gamerfreund
17.01.2015 um 12:52 Uhr
Hey aqui,
du hast völlig recht, eigene certs wären natürlich besser..andererseits landen die im voice vlan und das ist stark eingeschränkt. Würds halt gern erstmal ans laufen kriegen und ärgere mich das mir das cert fehlt...
Bitte warten ..
Mitglied: aqui
17.01.2015 um 20:55 Uhr
andererseits landen die im voice vlan und das ist stark eingeschränkt.
Ahem...was hat das jetzt mit der Frage zu tun ?! Verwirrung ?

Bastel dir doch selber eins. OpenSSL ist wie immer dein Freund
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 10:09 Uhr
sind das nicht irgendwelche Alcatel Intermediate Zertifikate? Wie kann ich mir die basteln; wurden die nicht von der Root CA incl. private key ausgestellt? Wie geagt, die Idee wäre, die Alcatel Certs erstmal auf den Telefonen zu lassen (und das zurecht von dir angesprochene Security Risiko vorerst zu ignorieren.)
Bitte warten ..
Mitglied: aqui
19.01.2015 um 14:32 Uhr
Wenn das einzig nur mit Alcatel Certs geht hast du keinen Chance. Wäre aber sehr sehr ungewöhnlich, denn dann müsstest du Alcatel blind vertrauen...kein Mensch macht das im Kryptobereich sich Zerts von Fremden genieren zu lassen !
Ist so wenn du dir Zertifikate von der NSA machen lässt und die dir sagt das nur ihre auf deinen rechnern laufen....
Das kann niemals stimmen, denn es konterkariert den Sinn (und Unsinn) von Zertifikaten.
Bitte warten ..
Mitglied: Gamerfreund
19.01.2015 um 15:18 Uhr
wie gesagt, ich verstehe deine Bedenken zu 1000%. Um die allgemeine Funktionalität der gesamten 802.1x Infrastruktur zu testen, wäre es aber zwischenzeitlich eine angenehme Lösung. Vielleicht hab ich auch die Anleitung (http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html) nicht verstanden, denn genau das wird doch da beschrieben,oder nicht?
Bitte warten ..
Mitglied: aqui
19.01.2015, aktualisiert um 16:51 Uhr
Fazit also: Hotline bei deiner nächstegelgenen Alcatel Geschäftsstelle anrufen und sich die Zerts zumailen lassen

P.S.: Dein Link oben führt zu einer weissen und leeren Webseite !
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore29 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server17 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Linux
Info Monitor für eine Schule
gelöst Frage von CAT404Linux13 Kommentare

Moin, ich möchte einen Infomonitor betreiben; derzeit läuft da ein Windows 10 Rechner bei dem Firefox beim Start in ...