Windoofsklicker
17.02.06, 10:15
Hi Folks,
folgendes Szenario: WLAN-Router von D-Link als NAS, WPA mit 802.1x, dahinter mein Freeradius. Der D-Link leitet die Anfragen aus dem WLAN auch hübsch zum Freeradius weiter, aber kein WLAN-Client kommt is's Netz. Im Radius-Log steht:
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Error: TLS_accept:error in SSLv3 read client certificate A
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Info: (other): SSL negotiation finished successfully
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Error: TLS Alert read:fatal:access denied
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_peap: No data inside of the tunnel.
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Error: TLS_accept:error in SSLv3 read client certificate A
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Info: (other): SSL negotiation finished successfully
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Error: TLS Alert read:fatal:access denied
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_peap: No data inside of the tunnel.
Was mich nun wundert ist, dass beim MS-CHAP ein Client-Zertifikat nicht zwingend vorliegen muss. Ich weis auch nicht, ob das nun der Fehler ist, weil ja auch SSL negotiation finnished im Log steht.
Ich habe dann in der clients.conf noch extra einen User eingetragen, obwohl die Accounts auf dem System auch gecheckt werden (steht zumindest im Conf-File).
Meine Config entspricht dem hier: http://www.linux.org/docs/ldp/howto/8021X-HOWTO/
Hat jemand einen Lösungsansatz?
folgendes Szenario: WLAN-Router von D-Link als NAS, WPA mit 802.1x, dahinter mein Freeradius. Der D-Link leitet die Anfragen aus dem WLAN auch hübsch zum Freeradius weiter, aber kein WLAN-Client kommt is's Netz. Im Radius-Log steht:
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Error: TLS_accept:error in SSLv3 read client certificate A
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Info: (other): SSL negotiation finished successfully
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:49:53 2006 : Error: TLS Alert read:fatal:access denied
Fri Feb 17 10:49:53 2006 : Info: rlm_eap_peap: No data inside of the tunnel.
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Error: TLS_accept:error in SSLv3 read client certificate A
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Received EAP-TLS ACK message
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Info: (other): SSL negotiation finished successfully
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_tls: Length Included
Fri Feb 17 10:50:24 2006 : Error: TLS Alert read:fatal:access denied
Fri Feb 17 10:50:24 2006 : Info: rlm_eap_peap: No data inside of the tunnel.
Was mich nun wundert ist, dass beim MS-CHAP ein Client-Zertifikat nicht zwingend vorliegen muss. Ich weis auch nicht, ob das nun der Fehler ist, weil ja auch SSL negotiation finnished im Log steht.
Ich habe dann in der clients.conf noch extra einen User eingetragen, obwohl die Accounts auf dem System auch gecheckt werden (steht zumindest im Conf-File).
Meine Config entspricht dem hier: http://www.linux.org/docs/ldp/howto/8021X-HOWTO/
Hat jemand einen Lösungsansatz?