PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : K(r)ampf mit freeradius



pombaer
25.05.10, 16:00
Ich bin gerade dabei einen Freeradius Server zu konfigurieren (Debian Lenny, habe die Pakete bereits selbst kompiliert da openssl standardmäßig ja nicht einkompiliert ist). Ich scheitere aber irgendwie am Verständnis wie das Ding arbeitet. Als User DB soll Win2003 AD hergenommen werden. Ich habe lokal bei mir einen Radiusclient installiert mit dem ich den Server testen kann.
Wenn ich freeradius im Debug Modus starte und mich mit dem Client anmelde bekomme ich am Server folgende Ausgabe:

User-Name = "foo.at\\user01"
Acct-Session-Id = "1274794364A55xlu"
NAS-IP-Address = 127.0.0.1
NAS-Identifier = "Localhost"
NAS-Port = 0
Calling-Station-Id = "1115551212"
User-Password = "myPassword"

Wie entscheidet freeradius über welches System (Pam, Files, Windows Domain) er mich authentifiziert? Probiert er alle Module die in den "authorization" Sektionen in den Files unter "sites-enabled" angegeben sind durch?
Für mich ist bei dem Radius recht viel Magic drin, ich finde dazu auch keine vernünftige Doku um die Arbeitsweise des Servers herauszufinden, RFC's lesen möchte ich mir auch sparen ;)

Das Kennwort muss doch dem Radiusserver in Klartext übermittelt werden damit der über AD authentifizieren kann, also setzte ich beim client nur das Attribut "User-Password". Die Verschlüsselung dabei passiert über das "Secret" das bei beiden Teilnehmern konfiguriert ist damit das Kennwort nicht im Klartext übertragen wird, ist das richtig so?

In der Anleitung unter "http://deployingradius.com/documents/configuration/active_directory.html" kommt ua. folgende Zeile vor:

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}-foo.at} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"

Verstehe ich irgendwie auch nicht, warum kommt darin der "--password" Parameter nicht vor, wenn ich mit meinen vorigen Annahmen richtig lag hat der Radius Server das Kennwort ja im Klartext zur Verfügung.

Vielleicht kennt jemand eine Vernünftige Doku zu freeradius, wäre echt froh darüber.

Windoofsklicker
25.05.10, 16:25
Wie entscheidet freeradius über welches System (Pam, Files, Windows Domain) er mich authentifiziert? Probiert er alle Module die in den "authorization" Sektionen in den Files unter "sites-enabled" angegeben sind durch?

Soweit ich das verstanden habe ist der erste "Filter" die Modules Section in der radiusd.conf. Was da includet wird (und in den einzelnen Konfig.-Files konfiguriert) kann man nutzen.



Das Kennwort muss doch dem Radiusserver in Klartext übermittelt werden damit der über AD authentifizieren kann,[...]
Da bin ich mir nicht zu 100% sicher, wie es im AD funktioniert. Ich setze den Radius zur WLAN-Absicherung ein (mit EAP). Da wird dem Radius das Passwort nicht im Klartext übertragen (wäre auch doof).


[...] also setzte ich beim client nur das Attribut "User-Password". Die Verschlüsselung dabei passiert über das "Secret" das bei beiden Teilnehmern konfiguriert ist damit das Kennwort nicht im Klartext übertragen wird, ist das richtig so?

NAS und Radius unterhalten sich verschlüsselt und verwenden dazu das Secret, das stimmt.



Vielleicht kennt jemand eine Vernünftige Doku zu freeradius, wäre echt froh darüber.
Das Buch selbst kenne ich nicht, die Bücher aus dem Verlag fand ich bisher allerdings immer sehr empfehlenswert:
O'Reily RADIUS (http://oreilly.com/catalog/9780596003227)

pombaer
25.05.10, 17:00
Wogegen authentifizierst du eine User? Handelt es sich um in Radius angelegte User in "/etc/freeradius/users", Linux User, LDAP, ...? In deinem Fall, hast du mehrere einzeln konfigurierte AP's oder einen zentralen WLAN Switch zur Authentifizierung? Warum ich mich damit beschäftige ist auch unsere neue WLAN Infrastruktur mit zentralem Management.
Ich bin eigentlich der Meinung dass das immer so ablaufen muss das der Radius Server das Kennwort im Klartext übermittelt bekommt (oder ev. mittels CHAP, wobei ja das wieder vorraussetzt dass das Kennwort am Server im Klartext bereits vorliegt), nur so kann er jede beliebige Authentifizierung vornehmen, oder? Für schlau halte ich es auch nicht, aber mich hat auch keiner gefragt ;)

Windoofsklicker
27.05.10, 09:06
Ich nutzer die raddb/users, da es sich um ein privates WLAN handelt.
Zur Klärung der Begriffe:

Wenn der Radius das Passwort im Klartext bekommt, bedeutet das ja nicht zwingend, dass die Übertragung unverschlüsselt stattfindet. Auf den Clients muss (-te ich zumindest) das Zertifikat des Radiusservers installieren. So kann der Client dem Server verschlüsselt Daten übertragen.

Wann das Passwort selbst und wann sein Hash übertragen werden, kann ich auch nicht mit letzter Sicherheit sagen, dazu stecke ich nicht tief genug drin. Ich habe sowieso vor, das Ganze auf Zertifikate umzustellen.