CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 18 gru 2017, 19:28

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 
Autor Wiadomość
Post #1 : 02 maja 2007, 14:45 
Offline
wannabe
wannabe

Rejestracja: 22 lut 2006, 09:01
Posty: 417
Witam,

Na AP o którym mowa w temacie można teoretycznie postawić lokalny serwer radius (z limitem do 50 użytkowników), i faktycznie się da, tylko jest mały problem... mianowicie zawsze przy próbie autentykacji otrzymuję od niego komunikat 'user rejected'.

Fragment konfiguracji:
Kod:
!
aaa new-model
!
!
aaa group server radius radgr
 server 192.168.1.253 auth-port 1812 acct-port 1813
!
ip radius source-interface BVI1
radius-server local
  nas 192.168.1.253 key 7 130E1B070816
  user user1 nthash 7 11283D2344372A29207B72057161600643214351550F780977755F224F370D0B05
  user user2 nthash 7 047A2F205C046D6B2D485C364B5959207A0D717A676C03422337522001780C0006
!
radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 030F571E0515
i próba autentykacji z komendy na ap:
Cytuj:
ap#test aaa gr rad user2 haslo ne
Trying to authenticate with Servergroup radius
User rejected
i pytanie: co w tej konfiguracji serwera radiusowego jest źle...? :P przy testach z zewnętrznym radiusem wszystko jest ok...


Na górę
 Tytuł:
Post #2 : 02 maja 2007, 15:26 
Offline
CCIE/CCDE
CCIE/CCDE
Awatar użytkownika

Rejestracja: 08 mar 2004, 12:17
Posty: 2327
Lokalizacja: Wawa
Testujac uzytkownika user2 podajesz grupe, jednak tej grupy nie ma w konfiguracji. Moze wiec powienienes dodac: group w local server configuration mode?


Na górę
 Tytuł:
Post #3 : 02 maja 2007, 16:12 
Offline
wannabe
wannabe

Rejestracja: 22 lut 2006, 09:01
Posty: 417
Cytuj:
Testujac uzytkownika user2 podajesz grupe, jednak tej grupy nie ma w konfiguracji. Moze wiec powienienes dodac: group w local server configuration mode?
Nie bardzo rozumiem... w konfiguracji serwera lokalnego można zdefiniować grupy użytkowników, jednak jest to opcjonalne... bez wyszczególniania grup wszyscy powinni trafiać do grupy default'owej... zaś w komendzie 'test' wybieram spośród grupy radius lub tacacs+ ( i w moim przypadku podany użytkownik autentykowany jest do poszczególnych serwerów grupy radius, która jest zdefiniowana (aaa group radius...)), a nie spośród radiusowej grupy użytkowników... może mieszam jakieś pojęcia...? :P

Poza tym próbowałem potworzyć grupy użytkowników pod konfiguracją serwera i 'powrzucać' do nich użytkowników, ale to (zgodnie z moimi przewidywaniami) nic nie zmieniło...


Na górę
 Tytuł:
Post #4 : 02 maja 2007, 21:08 
Offline
CCIE/CCDE
CCIE/CCDE
Awatar użytkownika

Rejestracja: 08 mar 2004, 12:17
Posty: 2327
Lokalizacja: Wawa
Rozumiem, ze hasla:
Cytuj:
nas 192.168.1.253 key 7 130E1B070816
oraz
Cytuj:
radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 030F571E0515
sa takie same w postaci odszyfrowanej?

Jaki wynik daja komendy:
show radius local-server statistics
oraz
debug radius local-server { packets | error | client }


Na górę
 Tytuł:
Post #5 : 02 maja 2007, 21:52 
Offline
wannabe
wannabe

Rejestracja: 22 lut 2006, 09:01
Posty: 417
Tak, hasła są te same...

Troszkę dziwna sprawa, bo po 'show radius local-server statistics' dostaję:
Kod:
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Unknown NAS            : 0           Invalid packet from NAS: 0

NAS : 192.168.1.253
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Corrupted packet       : 0           Unknown RADIUS message : 0
No username attribute  : 0           Missing auth attribute : 0
Shared key mismatch    : 0           Invalid state attribute: 0
Unknown EAP message    : 0           Unknown EAP auth type  : 0

Username                  Successes  Failures  Blocks
user1                             0         0       0
user2                             0         0       0
Przyznaję, że nie sprawdzałem tego po użyciu komendy 'test...'... ale po próbie autentykacji klienta przez 802.1x/PEAP (od tego zaczynałem) wzrastał licznik 'Unknown usernames'... a tu zera... :?

Wyniki debugów:
z 'debug radius local-server...':
Kod:
*Mar  1 08:29:05.881: RADSRV 192.168.1.253> Code 1 Id 28 Len 51
*Mar  1 08:29:05.881:   Auth E018B0 E018B4 E018B8 E018BC
*Mar  1 08:29:05.881:   2 - 8C 96 D7 2D 85 3F 6D 1B 8B 6C AB BE D8 C1 FA EA
*Mar  1 08:29:05.882:   1 - user1
*Mar  1 08:29:05.882:   4 - 192.168.1.253
*Mar  1 08:29:05.882: RADSRV 192.168.1.253< Code 3 Id 28 Len 88
*Mar  1 08:29:05.882:   Auth E06234 E06238 E0623C E06240
*Mar  1 08:29:05.883:   24 - 00 90 70 B8 00 0A CE 48 00 90 70 B8 00 00 00 00 00
96 94 AC 00 00 00 00 00 00 00 00 00 00 00 00 91 E1 B6 73 54 CE 58 24 65 50 B1 54
 74 42 E9 C9
*Mar  1 08:29:05.883:   80 - 61 45 D8 27 B7 59 E3 6E 99 7A 13 C2 7A 79 CC 5C
z 'debug radius authentication':
Kod:
*Mar  1 08:31:18.791: AAA/AUTHEN/LOGIN (00000000): Pick method list 'Permanent L
ocal'
*Mar  1 08:31:18.792: RADIUS/ENCODE(00000000): dropping service type, "radius-se
rver attribute 6 on-for-login-auth" is off
*Mar  1 08:31:18.792: RADIUS: Pick NAS IP for uid=0 tableid=0 cfg_addr=192.168.1
.253 best_addr=0.0.0.0
*Mar  1 08:31:18.792: RADIUS(00000000): sending
*Mar  1 08:31:18.792: RADIUS(00000000): Send Access-Request to 192.168.1.253:181
2 id 21645/43, len 51
*Mar  1 08:31:18.793: RADIUS:  authenticator A6 F2 3C 38 C2 6D 9F DC - 6B A1 12
B6 CB E3 12 A1
*Mar  1 08:31:18.793: RADIUS:  User-Password       [2]   18  *
*Mar  1 08:31:18.793: RADIUS:  User-Name           [1]   7   "user1"
*Mar  1 08:31:18.793: RADIUS:  NAS-IP-Address      [4]   6   192.168.1.253

*Mar  1 08:31:18.794: RADIUS: Received from id 21645/43 192.168.1.253:1812, Acce
ss-Reject, len 88
*Mar  1 08:31:18.794: RADIUS:  authenticator BA AD 27 BD 31 7A 52 52 - DE B6 A1
3F 60 72 08 74
*Mar  1 08:31:18.794: RADIUS:  State               [24]  50
*Mar  1 08:31:18.795: RADIUS:   00 90 70 B8 00 0A CE 48 00 90 70 B8 00 00 00 00
 [??p????H??p?????]
*Mar  1 08:31:18.795: RADIUS:   00 96 94 AC 00 00 00 00 00 00 00 00 00 00 00 00
 [????????????????]
*Mar  1 08:31:18.796: RADIUS:   91 E1 B6 73 54 CE 58 24 65 50 B1 54 74 42 E9 C9
 [???sT?X$eP?TtB??]
*Mar  1 08:31:18.796: RADIUS:  Message-Authenticato[80]  18  *
*Mar  1 08:31:18.796: RADIUS(00000000): Received from id 21645/43
*Mar  1 08:31:18.796: RADIUS(00000000): Unique id not in use
*Mar  1 08:31:18.796: RADIUS/DECODE(00000000): There is no RADIUS DB Some Radius
 attributes may not be stored
*Mar  1 08:31:18.796: RADIUS: not a valid author-type 0!!


Na górę
 Tytuł:
Post #6 : 02 maja 2007, 22:30 
Offline
wannabe
wannabe

Rejestracja: 22 lut 2006, 09:01
Posty: 417
Jeszcze jedna rzecz, którą teraz zauważyłem :P po komendzie 'test', ale podając użytkownika innego, niż wpisany w konfiguracji, licznik 'Unknown usernames' wzrasta, natomiast w przypadku podania innego hasła czy nazwy użytkownika, która jest podana w konfiguracji radiusa, liczniki się nie ruszają... :P mimo, że chyba powinny... czy to tak powinno działać...? :roll:


Na górę
 Tytuł:
Post #7 : 12 wrz 2007, 13:36 
Offline
wannabe
wannabe

Rejestracja: 24 sie 2006, 18:21
Posty: 176
Lokalizacja: Ldn
Sprobuj dodac:

aaa authentication login default group radgr

_________________
www.cw.com


Na górę
 Tytuł:
Post #8 : 12 wrz 2007, 13:46 
Offline
wannabe
wannabe

Rejestracja: 22 lut 2006, 09:01
Posty: 417
Cytuj:
Sprobuj dodac:

aaa authentication login default group radgr
Szefie, wprawdzie już pół roku po fakcie... :P ale nie to było problemem, i było oczywiście z tą opcją testowane. Problemem był pewnie ios, bo różne rzeczy mi wypisywał, ale za krótko mialem ten konkretny egzemplarz, na którym to sprawdzałem, żeby pokombinować więcej... Konfiguracja była jak najbardziej poprawna. Teraz juz go nie mam, więc po sprawie i dzięki za odpowiedź... :wink:


Na górę
 Tytuł:
Post #9 : 12 wrz 2007, 13:51 
Offline
wannabe
wannabe

Rejestracja: 24 sie 2006, 18:21
Posty: 176
Lokalizacja: Ldn
No tak na date nie popatrzylem :P

Pozdro

_________________
www.cw.com


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 9 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl