Bonjour,
 
Je dois mettre en place une authentification radius mac. Lorsque je connecte un poste sur mon switch (un AT-8000GS), celui-ci envoie une requête a radius. Jusque là normal mais malheureusement, ma requête est toujours rejetée.
 
En mode débug, radius affiche :
 
 
rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
        NAS-IP-Address = 192.168.254.239
        NAS-Port-Type = Ethernet
        NAS-Port = 11
        User-Name = "0008743e7a99"
        Acct-Session-Id = "0500006E"
        Calling-Station-Id = "00-08-74-3E-7A-99"
        EAP-Message = 0x0200001101303030383734336537613939
        Message-Authenticator = 0x3a246fbf4208a41bb3cbfc8379731664
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
  modcall[authorize]: module "chap" returns noop for request 5
    users: Matched entry 0008743e7a99 at line 24
  modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
  rad_check_password:  Found Auth-Type local
auth: type Local
auth: No User-Password or CHAP-Password attribute in the request
auth: Failed to validate the user.
Delaying request 5 for 1 seconds
Finished request 5
Going to the next request
 
 
Il manque donc un mot de passe dans la requête de mon switch et je n'arrive pas à solutionner le problème.
 
Quelqu'un aurait-il une idée sur comment régler cette erreur?
Merci d'avance

lu !
 
Normalement quand tu fais du radius/MAC, le password de ton user est également son adresse mac. Je pense qu'il faudrait que tu rajoutes un attribut User-Password == @mac dans ton fichier users  
 

Merci de m'avoir répondu!!!
 
Dans mon fichier users j'ai :
 
0008743e7a99 Auth-Type := local, User-Password == "0008743e7a99"
  Tunnel-Type = VLAN,
 Tunnel-Medium-Type = 802,
 Tunnel-Private-Group-ID = 2
 
(bon un seul pour l'instant mais c'est juste pour le test^^)
Donc j'indique bien l'adresse mac pour le password, je ne comprends pas pourquoi ça ne marche pas !!...
 

Dans ton radiusd.conf, tu as bien une conf qui ressemble à ça ?
 
authorize {
        eap
        files
}
 
authenticate {
        Auth-Type CHAP {
          chap
        }
        eap
}
 
Et la conf de ton switch ça donne quoi ?

Dans radiusd.conf j'ai ça :
 
authorize {
        chap
        files
}  
 
Authenticate {
        Auth-Type CHAP {
          chap
        }
}  
 
J'ai trouvé cette config dans un bouquin.
 
Mais quand je test avec eap j'ai des erreurs au lancement de radius :
 
 main: prefix = "/usr"
 main: localstatedir = "/var"
 main: logdir = "/var/log/freeradius"
 main: libdir = "/usr/lib/freeradius"
 main: radacctdir = "/var/log/freeradius/radacct"
 main: hostname_lookups = no
 main: max_request_time = 30
 main: cleanup_delay = 5
 main: max_requests = 1024
 main: delete_blocked_requests = 0
 main: port = 0
 main: allow_core_dumps = no
 main: log_stripped_names = no
 main: log_file = "/var/log/freeradius/radius.log"
 main: log_auth = no
 main: log_auth_badpass = no
 main: log_auth_goodpass = no
 main: pidfile = "/var/run/freeradius/freeradius.pid"
 main: user = "freerad"
 main: group = "freerad"
 main: usercollide = no
 main: lower_user = "no"
 main: lower_pass = "no"
 main: nospace_user = "no"
 main: nospace_pass = "no"
 main: checkrad = "/usr/sbin/checkrad"
 main: proxy_requests = yes
 proxy: retry_delay = 5
 proxy: retry_count = 3
 proxy: synchronous = no
 proxy: default_fallback = yes
 proxy: dead_time = 120
 proxy: post_proxy_authorize = no
 proxy: wake_all_if_all_dead = no
 security: max_attributes = 200
 security: reject_delay = 1
 security: status_server = no
 main: debug_level = 0
read_config_files:  reading dictionary
read_config_files:  reading naslist
Using deprecated naslist file.  Support for this will go away soon.
read_config_files:  reading clients
read_config_files:  reading realms
radiusd:  entering modules setup
Module: Library search path is /usr/lib/freeradius
Module: Loaded exec
 exec: wait = yes
 exec: program = "(null)"
 exec: input_pairs = "request"
 exec: output_pairs = "(null)"
 exec: packet_type = "(null)"
rlm_exec: Wait=yes but no output defined. Did you mean output=none?
Module: Instantiated exec (exec)
Module: Loaded expr
Module: Instantiated expr (expr)
Module: Loaded CHAP
Module: Instantiated chap (chap)
Module: Loaded eap
 eap: default_eap_type = "peap"
 eap: timer_expire = 60
 eap: ignore_unknown_eap_types = no
 eap: cisco_accounting_username_bug = no
rlm_eap: Loaded and initialized type md5
rlm_eap: Loaded and initialized type leap
 gtc: challenge = "Password: "
 gtc: auth_type = "PAP"
rlm_eap: Loaded and initialized type gtc
rlm_eap: Failed to link EAP-Type/tls: rlm_eap_tls.so: cannot open shared object file: No such file or directory
radiusd.conf[10]: eap: Module instantiation failed.
radiusd.conf[1941] Unknown module "eap".
radiusd.conf[1887] Failed to parse authenticate section.
 
 
Effectivement, je n'ai pas réussi a trouver le fichier rlm_eap_tls.so ...
 
 
Quant au switch voici sa config :
 
vlan database
vlan 2-3
exit
 
interface range ethernet g(21,23)
switchport access vlan 2
exit
 
interface vlan 3
dot1x auth-not-req
exit
 
interface vlan 2
dot1x guest-vlan
exit
 
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
 
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
 
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
 
interface range ethernet g(1-12)
dot1x port-control auto
exit
 
interface ethernet g11
dot1x guest-vlan enable
exit
 
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
 
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius
 
 
 
 

Ta config côté RADIUS à l'air correcte. Pour ton soucis de lancement, installe les bibliothèques suivantes. Sur debian ça donne :
 

 
et retente la compilation. Si tu as un soucis avec libtool, prend une version inférieure à la v2.0.1.
 
explications

• D'après ton message d'erreur la compilation de rlm_eap_tls.so n'a pas été effectuée. Je suppose qu'il te manque le paquet libssl-devel.
• Tu n'es pas obligé d'installer le reste, libmysql-devel c'est si tu veux utiliser une base sql au lieu de ton fichier users.
• Pour ne pas perdre toutes tes confs, fais un backup du répertoire raddb/; tu recolles ensuite ce répertoire une fois la compilation réeffectuée.

Pendant que tu fais ça, je vais essayé de comprendre la conf de ton switch et voir ce qui peut clocher.
 
Bon courage !

J'ai compilé rlm_eap_tls.so mais maintenant j'ai une nouvelle erreur :

rlm_eap: Loaded and initialized type gtc
rlm_eap: Failed to link EAP-Type/tls: /usr/lib/freeradius/rlm_eap_tls.so: undefined symbol: cbtls_password
radiusd.conf[10]: eap: Module instantiation failed.
radiusd.conf[1941] Unknown module "eap".
radiusd.conf[1887] Failed to parse authenticate section.

Comme si le module eap n'était toujours pas installé...

Je vais essayer de voir ce que je peux trouver sur le net. En tout cas si tu veux de plus amples information sur la config du switch n'hésite pas.

 
Tu as installé FreeRadius depuis les sources lors de la première installation ?
 
Sinon, j'ai un lien qui pourrait t'intéresser...

 
Ca a bien été fait...

Tu es sur quelle distrib ?  
 
Tu as vérifier si AUCUN package freeradius n'a été installé ?
 
Tu peux essayer en ajoutant ces options lorsque tu généres le Makefile:
 

Je suis sous debian (machine virtuelle).

Les packages ont été correctement installés donc bizarre et j'ai recompilé en rajoutant tes options sans meilleur résultat...

Finalement j'ai réussi à solutionner le problème et le module eap semble fonctionner mais maintenant j'ai de nouveau l'erreur du départ  
 
 
rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
        NAS-IP-Address = 192.168.254.239
        NAS-Port-Type = Ethernet
        NAS-Port = 11
        User-Name = "0008743e7a99"
        Acct-Session-Id = "0500006E"
        Calling-Station-Id = "00-08-74-3E-7A-99"
        EAP-Message = 0x0200001101303030383734336537613939
        Message-Authenticator = 0x3a246fbf4208a41bb3cbfc8379731664
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
  modcall[authorize]: module "chap" returns noop for request 5
    users: Matched entry 0008743e7a99 at line 24
  modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
  rad_check_password:  Found Auth-Type local
auth: type Local
auth: No User-Password or CHAP-Password attribute in the request
auth: Failed to validate the user.
Delaying request 5 for 1 seconds
Finished request 5
Going to the next request  
 
 
Je ne vois vraiment pas quoi faire...

En fait c'est bon! j'ai réglé ce problème en mettant Auth-Type := Accept dans users!!!
 
Enfin c'est pas encore fini vu que maintenant que radius m'accepte, c'est le switch qui me rejette parce que soi-disant radius ne transmet pas de numéro de vlan...
 
"01-Aug-2007 02:21:48 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID"
 
 
Mais bon j'avance quand même^^