Freeraduis eap tls Zertifikatsproblem oder Falsche Configs?

Hallo habe eine Problem mit freeradius und hoffe jemand kann mir hier ein paar Tips geben.

Aufbau:

Alcatel Switch mit Vlan10 Voice und VLAN 1 Data , die IP Telefone sollen sich per EAP-tls am freeradius authentifizieren und dann das VLAN 10 zugewiesen bekommen.

Betriebsystem ist Debian 7.1 mit dem dazugehörigen freeradius paket

Trage ich in der User Konfig einen user mit "cleartext" Passwort funktioniert das ganze auch ....

Ändere ich die /etc/freeradius/users.conf wie folgt ab:

"ALCIPT" Auth-Type := EAP, User-Password =="Password"
                Xylan-Auth-Group = 10

funktioniert dies nicht mehr. Mit freeradius -X bekomme ich diese Meldung:

ad_recv: Access-Request packet from host 192.168.1.251 port 1053, id=241, length=1250
	User-Name = "ALCIPT"
	NAS-IP-Address = 192.168.1.251
	State = 0x4fa035f24ba5384d541966e42784972a
	NAS-Port = 1013
	NAS-Port-Type = Ethernet
	Calling-Station-Id = "00809fb143a6"
	EAP-Message = 0x020504720d8000000468160301031a0b0003160003130003103082030c308201f6a00302010202103a51919bbe5a7e7b0da64f31d234818f300b06092a864886f70d0101053055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f72697479311530130603550403130c57697265642050686f6e6573301e170d3131303830333036333631345a170d3331303830333036333631345a3055310b300906035504061302465231173015060355040a130e416c636174656c2d4c7563656e7431163014060355040b130d504b4920417574686f7269747931
	EAP-Message = 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
	EAP-Message = 0x551d23041830168014d205a338e65667ac853ca4215c64cfd249dbcc02300b06092a864886f70d0101050382010100bc4a6d8ee2d7336b4a90cc0a60d7a4de566a9c855335f877234548db6935f673087b2754fe907b2e76211bcbad9f1d2fd1b9acedbcbcf0287a601cffe87983d96f9d8511cdeebff7a8eb6c0be21e1bebe1d45f3440d916a6244751e23b3b2218ed726f68aa166e681d9515e55d76e710b3cbce3fbfe778bc8e54b131102c70e21f6c54f6ec3c7d6e24f08781ffa850bfa383a0d7a29b1f86f17e0b987a7f24c00d7d101ea2df5b7f791bab3cf59b7df1d6c162c7e1aee308f973f4217dfebf7aae4abbb61234ca0e59b6c87aa61f
	EAP-Message = 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
	EAP-Message = 0x46e428e0d40994eab0d822ec8f3e243df9a338ef047e710b88fb5be0319bae7128c5d4acd8386e4e619b855f246e34ef65221c3778e21868016b033e647a835f1c2053fee7bff9312e258f1403010001011603010028dc0ce5015697c2c7c7aa88b97259d0bc89cbe85c844bc6fef5ae2d88ffc0cbb3fcbf2066186ab0e7
	Message-Authenticator = 0x7a127f852e05c34e2a79a20b57061a31
	Service-Type = Framed-User
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] EAP packet type response id 5 length 253
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.
[files] users: Matched entry ALCIPT at line 114
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/tls
[eap] processing type tls
[tls] Authenticate
[tls] processing EAP-TLS
  TLS Length 1128
[tls] Length Included
[tls] eaptls_verify returned 11 
[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.
TLS receive handshake failed during operation
[tls] eaptls_process returned 4 
[eap] Handler failed in EAP/tls
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] 	expand: %{User-Name} -> ALCIPT
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 5 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 5
Sending Access-Reject of id 241 to 192.168.1.251 port 1053
	EAP-Message = 0x04050004
	Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 2.7 seconds.
Cleaning up request 0 ID 236 with timestamp +32

am Ende wird der Access abgelehnt.

Verwirrt bin ich über diese beiden Meldungen:

suffix] No '@' in User-Name = "ALCIPT", looking up realm NULL
[suffix] No such realm "NULL"

und

[tls] <<< TLS 1.0 Handshake [length 031a], Certificate  
--> verify error:num=20:unable to get local issuer certificate 
[tls] >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  
TLS Alert write:fatal:unknown CA
    TLS_accept: error in SSLv3 read client certificate B
rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
SSL: SSL_read failed in a system call (-1), TLS session fails.

Sieht für mich so aus als wäre es ein Zertifikatsproblem ......
Da ich kein Linux Guru bin sondern von der TK.System Seite komme, hab ich es wie in dieser Anleitung beschrieben folgende Befehle ausgeführt:

cd /etc/freeradius
mkdir certs
cd certs
mkdir CA
cd CA
mkdir certs
mkdir crl
mkdir newcerts
mkdir private
mkdir users
echo '01' > serial
touch index.txt
cp /etc/ssl/openssl.cnf openssl.cnf

Jetzt kommen die Zertifikate was aber genau jeder dieser Befehle macht kann ich nicht sagen

openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 1095 – config openssl.cnf

openssl pkcs12 -export -in cacert.pem -inkey private/cakey.pem -out caroot.p12 -cacerts -descert

openssl pkcs12 -in caroot.p12 -out caroot.pem

openssl req -nodes -new -x509 -keyout radius-req.pem -out
radius-req.pem -days 730 -config openssl.cnf

openssl x509 -x509toreq -in radius-req.pem -signkey radius-req.pem -out radius-tmp.pem

openssl ca -config openssl.cnf -policy policy_anything -out
radius-cert.pem -infiles radius-tmp.pem

openssl dhparam -out dh1024.pem 1024

Bei allen Passwort Abfragen habe ich das selbe Passwort benutzt.

Die Zertifikate der IP Telefone habe ich wie in der Anleitung beschrieben nach /etc/freeradius/certs/CA/ kopiert und diesen Befehl ausgeführt:

cat /etc/freeradius/certs/CA/cacert.pem AIPT_BASE64/aipt*.pem
Alcatel\ Enterprise\ Solutions.pem Alcatel\ IP\ Touch.pem >>
/etc/freeradius/certs/CA/cacerts.pem

Änderung in der /etc/freeradius/eap.conf :

tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_file = ${certdir}/CA/radius-req.pem
certificate_file = ${certdir}/CA/radius-cert.pem
CA_file = ${certdir}/CA/cacerts.pem
dh_file = ${certdir}/CA/dh1024.pem
random_file = ${certdir}/CA/dh1024.pem
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
}

Falls jemand den Fehler sieht oder Tips zur Fehlesuche beisteuern kann wäre ich echt dankbar.

Eventuell findet sich ja auch jemand der mir die Zertifikatsbefehle etwas erläutern kann ......

Hier im Forum gibt's es eine Anleitung zum Thema freeradius und Wlan leider konnte sie mir an dieser stelle auch nicht weiter helfen

Mfg Bamboochaaa

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 217065

Url: https://administrator.de/forum/freeraduis-eap-tls-zertifikatsproblem-oder-falsche-configs-217065.html

Ausgedruckt am: 23.04.2025 um 02:04 Uhr

14 Kommentare

Neuester Kommentar

Es gibt auch eine Anleitung für LAN Switches und 802.1x !!
Die hast du gelesen ?? Sie beschreibt die Einrichtung im Detail !!
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Bzw. mit einer WebGUI Verwaltung auch hier:
Freeradius Management mit WebGUI

Den Realm error kannst du ignorieren aber nicht den Zertifikats Error !
Der Radius findet in der Tat das Zertifikat nicht !! Da stimmen deinen Pfade also nicht.

Ja den habe ich gelesen ich nutze aber Debian 7.1 mit dazugehöriges paket da heißen die Dateien etwas anders ich werde nochmal die configs durch schauen und dann die Zertifikate neu erstellen ........mal sehen ob es dann

Was ich aber noch nicht verstehe mein user sieht so aus:

"ALCIPT" Auth-Type := EAP, User-Password =="Password"
Xylan-Auth-Group = 10

in der users aus der guide gibt es aber nur solche einträge:

"User" Cleartext-Password := "user"

Noch eine andere Frage bei der Zertifikat Erstellung wird oft der Zusatz -config openssl.cnf verwendet wenn jetzt in der openssl.cnf falsche Einstellungen sind ist dann das ganze Zertifikat falsch ?

Eigentlich kann das nicht sein ! Die Anleitung basiert auf einem Wheezy !
Die Auth Group 10 ist komisch. Ist mir im Radius Bereich noch nicht untergekomme. Hast du das denn nicht eingerichtet ??
Für 802.1x ist das auf alle Fälle falsch !

Ich habe Debian installiert dann dies freeradius source paket von http://packages.debian.org/unstable/net/freeradius heruntergeladen und mit dpkg-source -x *.dsc extrahiert so wies in meiner Anleitung stand ......

Xylan-Auth-Group = 10 bedeutet das dem port bei erfolgreicher Authentifizierung das vlan 10 zugewiesen wird dieses Attribut ist für den Alcatel Omniswitch an dem das IP Telefon angeschlossen wird

Schon komisch, denn das ist bar jeglichen Standards. Für standard 802.1x sieht das so aus wie im Tutorial beschrieben.
Der Omniswitch scheint dann da nicht standardkonform zu sen wenn das über ein Vendor specific Attribute geht ?!

Ja das scheint ein Eintrage extra für den Omniswitch zu sein.

Das ganze habe ich nach dieser Anleitung eingerichtet:

http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html

Hallo,
ich versuche auch gerade, Alcatel Telephone mit 802.1x zu authentifizieren, mir fehlt aber ein Zertifikat

~~~~~~
Certificates provided by Alcatel-Lucent contain only public keys:
...
•aipt[1-8].pem

~~~~~~

Kann mir jemand sagen, was ich das (die?) Certs aipt[1-8].pem herbekomme? Hab das gesamte Internet abgegrast - ohne Erfolg.

Danke!

/Gamerfreund

Das bekommst du wie immer problemlos über den Hersteller der Telefone. Frag also den oder das Systemhaus das dir diese verkauft hat !
Ist aber schon unüblich und auch komisch, denn du müsstest ja bei den zertifikaten jemand Fremden vertrauen. Das konterkariert eigentlich das gesamte Sicherheitskonzept.
Alle Telefone am Markt lassen einen eigenen Zertifikats Import zu sei es über GUI, TFTP oder den Call Manager beim Booten.
Das solltest du nochmal genauestens nachfragen ob das stimmt. Kann man eigentlich nicht glauben...

Hey aqui,
du hast völlig recht, eigene certs wären natürlich besser..andererseits landen die im voice vlan und das ist stark eingeschränkt. Würds halt gern erstmal ans laufen kriegen und ärgere mich das mir das cert fehlt...

andererseits landen die im voice vlan und das ist stark eingeschränkt.

Ahem...was hat das jetzt mit der Frage zu tun ?! Verwirrung ?

Bastel dir doch selber eins. OpenSSL ist wie immer dein Freund

sind das nicht irgendwelche Alcatel Intermediate Zertifikate? Wie kann ich mir die basteln; wurden die nicht von der Root CA incl. private key ausgestellt? Wie geagt, die Idee wäre, die Alcatel Certs erstmal auf den Telefonen zu lassen (und das zurecht von dir angesprochene Security Risiko vorerst zu ignorieren.)

Wenn das einzig nur mit Alcatel Certs geht hast du keinen Chance. Wäre aber sehr sehr ungewöhnlich, denn dann müsstest du Alcatel blind vertrauen...kein Mensch macht das im Kryptobereich sich Zerts von Fremden genieren zu lassen !
Ist so wenn du dir Zertifikate von der NSA machen lässt und die dir sagt das nur ihre auf deinen rechnern laufen....
Das kann niemals stimmen, denn es konterkariert den Sinn (und Unsinn) von Zertifikaten.

wie gesagt, ich verstehe deine Bedenken zu 1000%. Um die allgemeine Funktionalität der gesamten 802.1x Infrastruktur zu testen, wäre es aber zwischenzeitlich eine angenehme Lösung. Vielleicht hab ich auch die Anleitung (http://dc308.4shared.com/doc/yT3Pa2Ou/preview.html) nicht verstanden, denn genau das wird doch da beschrieben,oder nicht?