guide/EAPMD5 HOWTO
Mục lục
Mục lục
sự hiểu biết rất cơ bản
cấu hình máy chủ
cấu hình người dùng (người sử dụng)
Phần (radiusd.conf)
cấu hình máy khách
Windows XP là supplicant
cấu hình người dùng
Windows XP (trước SP1)
Xử lý sự cố
Exchange và các ví dụ đăng nhập
Mục lục
sự hiểu biết rất cơ bản
cấu hình máy chủ
cấu hình người dùng (người sử dụng)
Phần (radiusd.conf)
cấu hình máy khách
Windows XP là supplicant
cấu hình người dùng
Windows XP (trước SP1)
Xử lý sự cố
Exchange và các ví dụ đăng nhập
sự hiểu biết rất cơ bản
EAP / MD5 và các loại chứng thực EAP là một phần của "Port điều khiển truy cập dựa trên mạng", như được định nghĩa trong tiêu chuẩn IEEE 802.1X. Tất cả bạn phải biết vào thời điểm này là ba diễn viên chính:
Authentication Server (gọi là AS hoặc máy chủ trong tài liệu này)
máy chủ AAA (RADIUS) mà sẽ xác minh thông tin người dùng và cung cấp cho các lệnh để chấp nhận hoặc từ chối yêu cầu người dùng đăng nhập.
xác thực (được gọi là khách hàng hoặc điểm truy cập - AP - trong tài liệu này):
các thiết bị truy cập mạng (NAS), trong đó sẽ đưa EAP-frame ra khỏi giao thông ở một bên và dịch chúng thành RADIUS-thuộc tính trên lại khác và ngược, do đó hoạt động như thiết bị pass-through.
supplicant (người sử dụng)
một trong những phải được xác thực, ví dụ: Windows / Linux bất cứ máy sử dụng mạng WLAN
cấu hình máy chủ
Máy chủ của bạn hoạt động, theo cấu hình HOWTO cơ bản.
Giả định:
Bạn có một máy chủ bắt đầu mà không có lỗi khi làm radiusd -s -X
Bạn có ít nhất một khách hàng cấu hình đúng (nghĩa là Access Point, AP)
Bạn có ít nhất một người dùng cấu hình và mật khẩu người dùng của bạn radtest 10 công trình bí mật từ một máy chủ thử nghiệm (ví dụ localhost), nghĩa là bạn nhận được một thông báo chấp nhận từ máy chủ của bạn
Xin hãy nhìn vào các tập tin cấu hình cung cấp để thực hiện các thiết lập cho đến nay. Nó thực sự không khó để có hệ thống cấu hình theo cách này bởi chỉ sửa các tập tin cấu hình được cung cấp. Các tập tin có liên quan ở đây là điển hình trong / etc / raddb / thư mục của máy chủ FreeRADIUS của bạn:
người sử dụng
clients.conf
radiusd.conf
cấu hình người dùng (người sử dụng)
Thay đổi người dùng hiện hoặc thêm một số khác mà sẽ được sử dụng cho mục đích thử nghiệm. Cấu hình đơn giản có thể được đưa ra trong ví dụ. cấu hình phức tạp hơn là ra khỏi phạm vi của tài liệu này.
Thí dụ:
bob Cleartext-Password: = "Hello"
Lưu ý ": =" nhà điều hành. "=" Thay vào đó sẽ không làm việc.
Phần (radiusd.conf)
Phần thú vị ở đây được ủy quyền và xác thực phần. (Ở dưới cùng của tập tin.) Bỏ qua tất cả những điều sau đây là những người sẽ đối phó với kế toán.
ủy quyền {
xử lý trước
các tập tin
eap
}
xác thực {
eap
}
Cuối cùng, các mô-đun EAP tự nó đã được cấu hình ít nhất là theo cách này:
eap {
md5 {
}
}
Lưu ý: EAP / MD5 sẽ "chỉ làm việc" với cấu hình mặc định.
Thats nó cho FreeRADIUS
cấu hình máy khách
Windows XP là supplicant
Trước hết: xin vui lòng đọc các tài liệu của khách hàng của bạn. Có rất nhiều khách hàng khác nhau trên thị trường, chúng tôi không thể cung cấp bất kỳ sự giúp đỡ cho họ. Về cơ bản, bạn phải kích hoạt "mạng cổng dựa trên xác thực 802.1X", đôi khi được gọi là tương tự. Xin vui lòng xem các tài liệu kỹ thuật của AP của bạn. Sau đó, tất nhiên, bạn phải tìm ra "Authentication Server" phần cấu hình và cung cấp dữ liệu về máy chủ RADIUS sử dụng,
ví dụ: địa chỉ IP của nó, UDP cổng và các bí mật trước khi chia sẻ (một trong những giống bạn cấu hình cho khách hàng điểm truy cập của bạn trong các tập tin cấu hình FreeRADIUS). Đôi khi bạn có thể cung cấp một loạt các các máy chủ và đôi khi bạn có thể sử dụng chúng cho các mục đích khác, quá, giống như ví dụ Dựa trên MAC kiểm soát truy cập. Bạn chỉ cần kích hoạt EAP-Authentication.
Xin lưu ý: bạn hoàn toàn có thể sử dụng EAP-xác thực mà không sử dụng WEP hoặc cung cấp bất cứ phím trong AP. Làm điều đó đúng với mục đích thử nghiệm. Một khi youve có nó chạy, bạn có thể thiết lập khóa WEP của bạn, bất cứ điều gì. Điều đó sẽ cho phép bạn phân tích giao thông nếu có điều gì sai.
Đối với Cisco AP350 nó sẽ trông giống như sau: http://www.cisco.com/univercd/illus/6/55/65555.gif
Tắt loại chứng thực cũ (Open, chia sẻ, CHAP, PAP, bất kỳ) để tránh sự hiểu lầm trong quá trình thử nghiệm.
cấu hình người dùng
Windows XP (trước SP1)
Lưu ý: kể từ WindowsXP SP1 bạn không thể sử dụng EAP-MD5 cho các thiết bị không dây !!! EAP-MD5 chỉ có sẵn cho các thiết bị có dây.
Tới cửa sổ Network Connections. Kích chuột phải vào kết nối tương ứng với các bộ chuyển đổi đó là sẽ sử dụng xác thực EAP. Vào phần "xác thực" tab. Nếu nó không xuất hiện (có, nó lạ đôi khi) cố gắng để tháo và cắm adapter của bạn cho đến khi nó thực hiện (nếu PCMCIA ...) Nếu không, tải về phần mềm cho các cấu hình bộ chuyển đổi như ví dụ ACU cho adapter Cisco và cố gắng để phát và kích hoạt lại thẻ.
Trong hộp thoại xác thực, đảm bảo hộp "Use IEEE802.1X mạng xác thực" được chọn. Đặt EAP bạn gõ có (EAP / MD5 Challenge).
Đó là tất cả. Bây giờ tắt và kích hoạt lại mạng LAN kết nối của bạn trên bộ chuyển đổi này và nó cũng làm việc.
Xử lý sự cố
Vấn đề 1:
AP của bạn vẫn tiếp tục nói rằng "yêu cầu thủ tục không rõ xác thực EAP" hoặc tương tự như các tất cả các thời gian.
Cách giải quyết:
Hãy thử để đảm bảo rằng tất cả các thông số mô tả ở trên (ở phía khách hàng và người sử dụng) đã thực sự được thiết lập. Sau đó, hãy thử để kiểm tra các điểm sau đây:
Firmware của card mạng và điểm truy cập là mới đủ để hỗ trợ phiên bản mới nhất IEEE802.1X (Dự thảo tạm thời 10 hoặc 11 Dự thảo cần làm việc). Cập nhật firmware của bạn với phần đài phát thanh của nó trong các trường hợp khác.
Sử dụng phần mềm adapter để xem phiên bản đang hoạt động, kiểm tra các liên kết, permutate tất cả các thiết lập, làm một cái gì đó! Hãy thử sử dụng các phần mềm chuyển đổi để thiết lập các loại chứng thực. Trong trường hợp của tôi nó là giải pháp đầu tiên mà tôi đã phải thiết lập một hồ sơ ACU ra mệnh lệnh xác thực EAP cho thẻ thay vì cho phép Windows để thiết lập các thông số. Điều này bây giờ làm việc với Windows profiling, quá, mặc dù.
Vấn đề 2:
Bạn nhận được một Access chối ngay cả khi các thông tin nhận biết là chính xác. Trong máy chủ đăng nhập của bạn có thể thấy một thông báo lạ.
Cách giải quyết:
Trong cấu hình người dùng của bạn (người sử dụng tập tin cấu hình máy chủ) loại bỏ các thuộc tính "Reply-tin" cho người sử dụng quan tâm. Đây hiện là một lỗi. Một số AP (ví dụ Cisco) gửi ra một thông báo hạ lưu cho người dùng về việc tiếp nhận một thuộc tính "Reply-tin" trong "Radius Response". Windows XP supplicant câu trả lời với một "EAP thông báo" loại tin nhắn thay vì thông báo "EAP MD5 Challenge" mà cần được ban hành. FreeRADIUS máy chủ hiện đang từ chối tất cả thông báo EAP đến.
Exchange và các ví dụ đăng nhập
Dưới đây là một ví dụ đăng nhập của người dùng đăng nhập thành công
Việc trao đổi cơ bản sẽ giống như sau:
& Nbsp;
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Thách thức truy cập (11)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP Yêu cầu (1)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; MD5-Challenge (4
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & Lt; ----------------
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Yêu cầu truy cập (1)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP Response (2)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; MD-Challenge (4)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; ---------------->
& Nbsp;
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Truy cập Chấp nhận (2)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP thành công (3)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & Lt; ----------------
Và đầu ra radiusd tương ứng:
rad_recv: Access-Request gói tin từ máy chủ 10.10.10.1:1150, id = 42, chiều dài = 121
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; User-Name = "artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-IP-Address = 10.10.10.1
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Called-ga-Id = "00409635bed6"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Gọi-ga-Id = "004096426f05"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Nhận Biết = "AP1"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port = 38
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Framed-MTU = 1400
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port-Type = Wireless-802.11
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP-Message = "\ 002 \ 000 \ 000 \ n \ 001artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Message-Authenticator = 0xe16c8f1a3d9326a9025fb043c7f2ecec
rlm_eap: chế biến loại md5
rlm_eap_md5: Phát hành Challenge
Đăng nhập OK: [artur / & lt; không có User-Password>] (từ cổng khách hàng ap-1 38 cli 004096426f05)
Gửi Access-Challenge của id 42 đến 10.10.10.1:1150
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP-Message = "\ 001 * \ 000 \ 026 \ 004 \ 020 \ 277 \ 301 \ 034 \ 265 \ 377 \ 002 \ 353 \ 210 {PFV \ 216B \ 031J"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Message-Authenticator = 0x00000000000000000000000000000000
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Nhà nước = 0x0bb432f976422930f905808b087e88ba9610fe3ccb283c169291fb00b15a87fa66c5a418
rad_recv: Access-Request gói tin từ máy chủ 10.10.10.1:1151, id = 43, chiều dài = 176
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; User-Name = "artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-IP-Address = 10.10.10.1
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Called-ga-Id = "00409635bed6"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Gọi-ga-Id = "004096426f05"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Nhận Biết = "AP1"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port = 38
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Framed-MTU = 1400
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Nhà nước = 0x0bb432f976422930f905808b087e88ba9610fe3ccb283c169291fb00b15a87fa66c5a418
& Nbsp; & nbsp; & nbsp; & nbs
https://wiki.freeradius.org/guide/EAPMD5-HOWTO#troubleshooting
Mục lục
sự hiểu biết rất cơ bản
cấu hình máy chủ
cấu hình người dùng (người sử dụng)
Phần (radiusd.conf)
cấu hình máy khách
Windows XP là supplicant
cấu hình người dùng
Windows XP (trước SP1)
Xử lý sự cố
Exchange và các ví dụ đăng nhập
Mục lục
sự hiểu biết rất cơ bản
cấu hình máy chủ
cấu hình người dùng (người sử dụng)
Phần (radiusd.conf)
cấu hình máy khách
Windows XP là supplicant
cấu hình người dùng
Windows XP (trước SP1)
Xử lý sự cố
Exchange và các ví dụ đăng nhập
sự hiểu biết rất cơ bản
EAP / MD5 và các loại chứng thực EAP là một phần của "Port điều khiển truy cập dựa trên mạng", như được định nghĩa trong tiêu chuẩn IEEE 802.1X. Tất cả bạn phải biết vào thời điểm này là ba diễn viên chính:
Authentication Server (gọi là AS hoặc máy chủ trong tài liệu này)
máy chủ AAA (RADIUS) mà sẽ xác minh thông tin người dùng và cung cấp cho các lệnh để chấp nhận hoặc từ chối yêu cầu người dùng đăng nhập.
xác thực (được gọi là khách hàng hoặc điểm truy cập - AP - trong tài liệu này):
các thiết bị truy cập mạng (NAS), trong đó sẽ đưa EAP-frame ra khỏi giao thông ở một bên và dịch chúng thành RADIUS-thuộc tính trên lại khác và ngược, do đó hoạt động như thiết bị pass-through.
supplicant (người sử dụng)
một trong những phải được xác thực, ví dụ: Windows / Linux bất cứ máy sử dụng mạng WLAN
cấu hình máy chủ
Máy chủ của bạn hoạt động, theo cấu hình HOWTO cơ bản.
Giả định:
Bạn có một máy chủ bắt đầu mà không có lỗi khi làm radiusd -s -X
Bạn có ít nhất một khách hàng cấu hình đúng (nghĩa là Access Point, AP)
Bạn có ít nhất một người dùng cấu hình và mật khẩu người dùng của bạn radtest 10 công trình bí mật từ một máy chủ thử nghiệm (ví dụ localhost), nghĩa là bạn nhận được một thông báo chấp nhận từ máy chủ của bạn
Xin hãy nhìn vào các tập tin cấu hình cung cấp để thực hiện các thiết lập cho đến nay. Nó thực sự không khó để có hệ thống cấu hình theo cách này bởi chỉ sửa các tập tin cấu hình được cung cấp. Các tập tin có liên quan ở đây là điển hình trong / etc / raddb / thư mục của máy chủ FreeRADIUS của bạn:
người sử dụng
clients.conf
radiusd.conf
cấu hình người dùng (người sử dụng)
Thay đổi người dùng hiện hoặc thêm một số khác mà sẽ được sử dụng cho mục đích thử nghiệm. Cấu hình đơn giản có thể được đưa ra trong ví dụ. cấu hình phức tạp hơn là ra khỏi phạm vi của tài liệu này.
Thí dụ:
bob Cleartext-Password: = "Hello"
Lưu ý ": =" nhà điều hành. "=" Thay vào đó sẽ không làm việc.
Phần (radiusd.conf)
Phần thú vị ở đây được ủy quyền và xác thực phần. (Ở dưới cùng của tập tin.) Bỏ qua tất cả những điều sau đây là những người sẽ đối phó với kế toán.
ủy quyền {
xử lý trước
các tập tin
eap
}
xác thực {
eap
}
Cuối cùng, các mô-đun EAP tự nó đã được cấu hình ít nhất là theo cách này:
eap {
md5 {
}
}
Lưu ý: EAP / MD5 sẽ "chỉ làm việc" với cấu hình mặc định.
Thats nó cho FreeRADIUS
cấu hình máy khách
Windows XP là supplicant
Trước hết: xin vui lòng đọc các tài liệu của khách hàng của bạn. Có rất nhiều khách hàng khác nhau trên thị trường, chúng tôi không thể cung cấp bất kỳ sự giúp đỡ cho họ. Về cơ bản, bạn phải kích hoạt "mạng cổng dựa trên xác thực 802.1X", đôi khi được gọi là tương tự. Xin vui lòng xem các tài liệu kỹ thuật của AP của bạn. Sau đó, tất nhiên, bạn phải tìm ra "Authentication Server" phần cấu hình và cung cấp dữ liệu về máy chủ RADIUS sử dụng,
ví dụ: địa chỉ IP của nó, UDP cổng và các bí mật trước khi chia sẻ (một trong những giống bạn cấu hình cho khách hàng điểm truy cập của bạn trong các tập tin cấu hình FreeRADIUS). Đôi khi bạn có thể cung cấp một loạt các các máy chủ và đôi khi bạn có thể sử dụng chúng cho các mục đích khác, quá, giống như ví dụ Dựa trên MAC kiểm soát truy cập. Bạn chỉ cần kích hoạt EAP-Authentication.
Xin lưu ý: bạn hoàn toàn có thể sử dụng EAP-xác thực mà không sử dụng WEP hoặc cung cấp bất cứ phím trong AP. Làm điều đó đúng với mục đích thử nghiệm. Một khi youve có nó chạy, bạn có thể thiết lập khóa WEP của bạn, bất cứ điều gì. Điều đó sẽ cho phép bạn phân tích giao thông nếu có điều gì sai.
Đối với Cisco AP350 nó sẽ trông giống như sau: http://www.cisco.com/univercd/illus/6/55/65555.gif
Tắt loại chứng thực cũ (Open, chia sẻ, CHAP, PAP, bất kỳ) để tránh sự hiểu lầm trong quá trình thử nghiệm.
cấu hình người dùng
Windows XP (trước SP1)
Lưu ý: kể từ WindowsXP SP1 bạn không thể sử dụng EAP-MD5 cho các thiết bị không dây !!! EAP-MD5 chỉ có sẵn cho các thiết bị có dây.
Tới cửa sổ Network Connections. Kích chuột phải vào kết nối tương ứng với các bộ chuyển đổi đó là sẽ sử dụng xác thực EAP. Vào phần "xác thực" tab. Nếu nó không xuất hiện (có, nó lạ đôi khi) cố gắng để tháo và cắm adapter của bạn cho đến khi nó thực hiện (nếu PCMCIA ...) Nếu không, tải về phần mềm cho các cấu hình bộ chuyển đổi như ví dụ ACU cho adapter Cisco và cố gắng để phát và kích hoạt lại thẻ.
Trong hộp thoại xác thực, đảm bảo hộp "Use IEEE802.1X mạng xác thực" được chọn. Đặt EAP bạn gõ có (EAP / MD5 Challenge).
Đó là tất cả. Bây giờ tắt và kích hoạt lại mạng LAN kết nối của bạn trên bộ chuyển đổi này và nó cũng làm việc.
Xử lý sự cố
Vấn đề 1:
AP của bạn vẫn tiếp tục nói rằng "yêu cầu thủ tục không rõ xác thực EAP" hoặc tương tự như các tất cả các thời gian.
Cách giải quyết:
Hãy thử để đảm bảo rằng tất cả các thông số mô tả ở trên (ở phía khách hàng và người sử dụng) đã thực sự được thiết lập. Sau đó, hãy thử để kiểm tra các điểm sau đây:
Firmware của card mạng và điểm truy cập là mới đủ để hỗ trợ phiên bản mới nhất IEEE802.1X (Dự thảo tạm thời 10 hoặc 11 Dự thảo cần làm việc). Cập nhật firmware của bạn với phần đài phát thanh của nó trong các trường hợp khác.
Sử dụng phần mềm adapter để xem phiên bản đang hoạt động, kiểm tra các liên kết, permutate tất cả các thiết lập, làm một cái gì đó! Hãy thử sử dụng các phần mềm chuyển đổi để thiết lập các loại chứng thực. Trong trường hợp của tôi nó là giải pháp đầu tiên mà tôi đã phải thiết lập một hồ sơ ACU ra mệnh lệnh xác thực EAP cho thẻ thay vì cho phép Windows để thiết lập các thông số. Điều này bây giờ làm việc với Windows profiling, quá, mặc dù.
Vấn đề 2:
Bạn nhận được một Access chối ngay cả khi các thông tin nhận biết là chính xác. Trong máy chủ đăng nhập của bạn có thể thấy một thông báo lạ.
Cách giải quyết:
Trong cấu hình người dùng của bạn (người sử dụng tập tin cấu hình máy chủ) loại bỏ các thuộc tính "Reply-tin" cho người sử dụng quan tâm. Đây hiện là một lỗi. Một số AP (ví dụ Cisco) gửi ra một thông báo hạ lưu cho người dùng về việc tiếp nhận một thuộc tính "Reply-tin" trong "Radius Response". Windows XP supplicant câu trả lời với một "EAP thông báo" loại tin nhắn thay vì thông báo "EAP MD5 Challenge" mà cần được ban hành. FreeRADIUS máy chủ hiện đang từ chối tất cả thông báo EAP đến.
Exchange và các ví dụ đăng nhập
Dưới đây là một ví dụ đăng nhập của người dùng đăng nhập thành công
Việc trao đổi cơ bản sẽ giống như sau:
& Nbsp;
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Thách thức truy cập (11)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP Yêu cầu (1)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; MD5-Challenge (4
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & Lt; ----------------
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Yêu cầu truy cập (1)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP Response (2)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; MD-Challenge (4)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; ---------------->
& Nbsp;
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Truy cập Chấp nhận (2)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP thành công (3)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & Lt; ----------------
Và đầu ra radiusd tương ứng:
rad_recv: Access-Request gói tin từ máy chủ 10.10.10.1:1150, id = 42, chiều dài = 121
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; User-Name = "artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-IP-Address = 10.10.10.1
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Called-ga-Id = "00409635bed6"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Gọi-ga-Id = "004096426f05"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Nhận Biết = "AP1"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port = 38
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Framed-MTU = 1400
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port-Type = Wireless-802.11
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP-Message = "\ 002 \ 000 \ 000 \ n \ 001artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Message-Authenticator = 0xe16c8f1a3d9326a9025fb043c7f2ecec
rlm_eap: chế biến loại md5
rlm_eap_md5: Phát hành Challenge
Đăng nhập OK: [artur / & lt; không có User-Password>] (từ cổng khách hàng ap-1 38 cli 004096426f05)
Gửi Access-Challenge của id 42 đến 10.10.10.1:1150
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; EAP-Message = "\ 001 * \ 000 \ 026 \ 004 \ 020 \ 277 \ 301 \ 034 \ 265 \ 377 \ 002 \ 353 \ 210 {PFV \ 216B \ 031J"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Message-Authenticator = 0x00000000000000000000000000000000
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Nhà nước = 0x0bb432f976422930f905808b087e88ba9610fe3ccb283c169291fb00b15a87fa66c5a418
rad_recv: Access-Request gói tin từ máy chủ 10.10.10.1:1151, id = 43, chiều dài = 176
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; User-Name = "artur"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-IP-Address = 10.10.10.1
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Called-ga-Id = "00409635bed6"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Gọi-ga-Id = "004096426f05"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Nhận Biết = "AP1"
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; NAS-Port = 38
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Framed-MTU = 1400
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Nhà nước = 0x0bb432f976422930f905808b087e88ba9610fe3ccb283c169291fb00b15a87fa66c5a418
& Nbsp; & nbsp; & nbsp; & nbs
https://wiki.freeradius.org/guide/EAPMD5-HOWTO#troubleshooting
Comments
Post a Comment