local radius na AP1230...

Pytanie dt. specjalizacji partnerskich CQS
Wiadomość
Autor
kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

local radius na AP1230...

#1

#1 Post autor: kt »

Witam,

Na AP o którym mowa w temacie można teoretycznie postawić lokalny serwer radius (z limitem do 50 użytkowników), i faktycznie się da, tylko jest mały problem... mianowicie zawsze przy próbie autentykacji otrzymuję od niego komunikat 'user rejected'.

Fragment konfiguracji:

Kod: Zaznacz cały

!
aaa new-model
!
!
aaa group server radius radgr
 server 192.168.1.253 auth-port 1812 acct-port 1813
!
ip radius source-interface BVI1
radius-server local
  nas 192.168.1.253 key 7 130E1B070816
  user user1 nthash 7 11283D2344372A29207B72057161600643214351550F780977755F224F370D0B05
  user user2 nthash 7 047A2F205C046D6B2D485C364B5959207A0D717A676C03422337522001780C0006
!
radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 030F571E0515
i próba autentykacji z komendy na ap:
ap#test aaa gr rad user2 haslo ne
Trying to authenticate with Servergroup radius
User rejected
i pytanie: co w tej konfiguracji serwera radiusowego jest źle...? :P przy testach z zewnętrznym radiusem wszystko jest ok...

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#2

#2 Post autor: gangrena »

Testujac uzytkownika user2 podajesz grupe, jednak tej grupy nie ma w konfiguracji. Moze wiec powienienes dodac: group w local server configuration mode?

kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

#3

#3 Post autor: kt »

gangrena pisze:Testujac uzytkownika user2 podajesz grupe, jednak tej grupy nie ma w konfiguracji. Moze wiec powienienes dodac: group w local server configuration mode?
Nie bardzo rozumiem... w konfiguracji serwera lokalnego można zdefiniować grupy użytkowników, jednak jest to opcjonalne... bez wyszczególniania grup wszyscy powinni trafiać do grupy default'owej... zaś w komendzie 'test' wybieram spośród grupy radius lub tacacs+ ( i w moim przypadku podany użytkownik autentykowany jest do poszczególnych serwerów grupy radius, która jest zdefiniowana (aaa group radius...)), a nie spośród radiusowej grupy użytkowników... może mieszam jakieś pojęcia...? :P

Poza tym próbowałem potworzyć grupy użytkowników pod konfiguracją serwera i 'powrzucać' do nich użytkowników, ale to (zgodnie z moimi przewidywaniami) nic nie zmieniło...

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#4

#4 Post autor: gangrena »

Rozumiem, ze hasla:
nas 192.168.1.253 key 7 130E1B070816
oraz
radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 030F571E0515
sa takie same w postaci odszyfrowanej?

Jaki wynik daja komendy:
show radius local-server statistics
oraz
debug radius local-server { packets | error | client }

kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

#5

#5 Post autor: kt »

Tak, hasła są te same...

Troszkę dziwna sprawa, bo po 'show radius local-server statistics' dostaję:

Kod: Zaznacz cały

Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Unknown NAS            : 0           Invalid packet from NAS: 0

NAS : 192.168.1.253
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Corrupted packet       : 0           Unknown RADIUS message : 0
No username attribute  : 0           Missing auth attribute : 0
Shared key mismatch    : 0           Invalid state attribute: 0
Unknown EAP message    : 0           Unknown EAP auth type  : 0

Username                  Successes  Failures  Blocks
user1                             0         0       0
user2                             0         0       0
Przyznaję, że nie sprawdzałem tego po użyciu komendy 'test...'... ale po próbie autentykacji klienta przez 802.1x/PEAP (od tego zaczynałem) wzrastał licznik 'Unknown usernames'... a tu zera... :?

Wyniki debugów:
z 'debug radius local-server...':

Kod: Zaznacz cały

*Mar  1 08:29:05.881: RADSRV 192.168.1.253> Code 1 Id 28 Len 51
*Mar  1 08:29:05.881:   Auth E018B0 E018B4 E018B8 E018BC
*Mar  1 08:29:05.881:   2 - 8C 96 D7 2D 85 3F 6D 1B 8B 6C AB BE D8 C1 FA EA
*Mar  1 08:29:05.882:   1 - user1
*Mar  1 08:29:05.882:   4 - 192.168.1.253
*Mar  1 08:29:05.882: RADSRV 192.168.1.253< Code 3 Id 28 Len 88
*Mar  1 08:29:05.882:   Auth E06234 E06238 E0623C E06240
*Mar  1 08:29:05.883:   24 - 00 90 70 B8 00 0A CE 48 00 90 70 B8 00 00 00 00 00
96 94 AC 00 00 00 00 00 00 00 00 00 00 00 00 91 E1 B6 73 54 CE 58 24 65 50 B1 54
 74 42 E9 C9
*Mar  1 08:29:05.883:   80 - 61 45 D8 27 B7 59 E3 6E 99 7A 13 C2 7A 79 CC 5C
z 'debug radius authentication':

Kod: Zaznacz cały

*Mar  1 08:31:18.791: AAA/AUTHEN/LOGIN (00000000): Pick method list 'Permanent L
ocal'
*Mar  1 08:31:18.792: RADIUS/ENCODE(00000000): dropping service type, "radius-se
rver attribute 6 on-for-login-auth" is off
*Mar  1 08:31:18.792: RADIUS: Pick NAS IP for uid=0 tableid=0 cfg_addr=192.168.1
.253 best_addr=0.0.0.0
*Mar  1 08:31:18.792: RADIUS(00000000): sending
*Mar  1 08:31:18.792: RADIUS(00000000): Send Access-Request to 192.168.1.253:181
2 id 21645/43, len 51
*Mar  1 08:31:18.793: RADIUS:  authenticator A6 F2 3C 38 C2 6D 9F DC - 6B A1 12
B6 CB E3 12 A1
*Mar  1 08:31:18.793: RADIUS:  User-Password       [2]   18  *
*Mar  1 08:31:18.793: RADIUS:  User-Name           [1]   7   "user1"
*Mar  1 08:31:18.793: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.253

*Mar  1 08:31:18.794: RADIUS: Received from id 21645/43 192.168.1.253:1812, Acce
ss-Reject, len 88
*Mar  1 08:31:18.794: RADIUS:  authenticator BA AD 27 BD 31 7A 52 52 - DE B6 A1
3F 60 72 08 74
*Mar  1 08:31:18.794: RADIUS:  State               [24]  50
*Mar  1 08:31:18.795: RADIUS:   00 90 70 B8 00 0A CE 48 00 90 70 B8 00 00 00 00
 [??p????H??p?????]
*Mar  1 08:31:18.795: RADIUS:   00 96 94 AC 00 00 00 00 00 00 00 00 00 00 00 00
 [????????????????]
*Mar  1 08:31:18.796: RADIUS:   91 E1 B6 73 54 CE 58 24 65 50 B1 54 74 42 E9 C9
 [???sT?X$eP?TtB??]
*Mar  1 08:31:18.796: RADIUS:  Message-Authenticato[80]  18  *
*Mar  1 08:31:18.796: RADIUS(00000000): Received from id 21645/43
*Mar  1 08:31:18.796: RADIUS(00000000): Unique id not in use
*Mar  1 08:31:18.796: RADIUS/DECODE(00000000): There is no RADIUS DB Some Radius
 attributes may not be stored
*Mar  1 08:31:18.796: RADIUS: not a valid author-type 0!!

kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

#6

#6 Post autor: kt »

Jeszcze jedna rzecz, którą teraz zauważyłem :P po komendzie 'test', ale podając użytkownika innego, niż wpisany w konfiguracji, licznik 'Unknown usernames' wzrasta, natomiast w przypadku podania innego hasła czy nazwy użytkownika, która jest podana w konfiguracji radiusa, liczniki się nie ruszają... :P mimo, że chyba powinny... czy to tak powinno działać...? :roll:

art71
wannabe
wannabe
Posty: 176
Rejestracja: 24 sie 2006, 18:21
Lokalizacja: Ldn

#7

#7 Post autor: art71 »

Sprobuj dodac:

aaa authentication login default group radgr

kt
wannabe
wannabe
Posty: 416
Rejestracja: 22 lut 2006, 09:01

#8

#8 Post autor: kt »

art71 pisze:Sprobuj dodac:

aaa authentication login default group radgr
Szefie, wprawdzie już pół roku po fakcie... :P ale nie to było problemem, i było oczywiście z tą opcją testowane. Problemem był pewnie ios, bo różne rzeczy mi wypisywał, ale za krótko mialem ten konkretny egzemplarz, na którym to sprawdzałem, żeby pokombinować więcej... Konfiguracja była jak najbardziej poprawna. Teraz juz go nie mam, więc po sprawie i dzięki za odpowiedź... :wink:

art71
wannabe
wannabe
Posty: 176
Rejestracja: 24 sie 2006, 18:21
Lokalizacja: Ldn

#9

#9 Post autor: art71 »

No tak na date nie popatrzylem :P

Pozdro

ODPOWIEDZ