Q&A
RADIUS設定をしてるんですがうまく認証ができず
困っております。お力を貸して頂けましたら幸いです。
設定等は以下に記載いたします。※構成図は一番下に記載します
■FreeRadiusサーバに設定
■Radius サーバ設定
※Debian OSですが、FWは切ってあり、in/out/forward/すべて許可です。
※radtest -4 test password 172.16.254.50 1812 test123123
でAccess-Acceptが帰ってきています。
因みに、
interface 0/1は非認証ポートです。ここにはWindows等がつながってます。
interface0/2が認証ポートです。ここにつなぐ機器はすべてRADIUSで認証通らないと通信不可にしたい
inteface 0/8 は RADIUSサーバです。
interface 0/12はインターネット側ポート
#clients.conf
client 172.16.254.0/24 { secret = test123123 shortname = localnet }
#radiusd.conf
user = root group = root listen { type = auth port = 1812 } log { auth = yes }
#users
test Cleartext-Password := "password" # Reply-Message = "Hello, %{User-Name}"
#eap.conf
eap { default_eap_type = md5 timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests} md5 { } leap { } gtc { auth_type = PAP } tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom # fragment_size = 1024 # include_length = yes # check_crl = yes CA_path = ${cadir} # check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" # check_cert_cn = %{User-Name} cipher_list = "DEFAULT" # virtual_server = check-eap-tls make_cert_command = "${certdir}/bootstrap" ecdh_curve = "prime256v1" cache { enable = no max_entries = 255 } verify { # tmpdir = /tmp/radiusd # client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}" } ocsp { enable = no override_cert_url = yes url = "http://127.0.0.1/ocsp/" # use_nonce = yes # timeout = 0 # softfail = no } } ttls { default_eap_type = md5 default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = yes virtual_server = "inner-tunnel" # include_length = yes } peap { default_eap_type = mschapv2 use_tunneled_reply = no #proxy_tunneled_request_as_eap = yes virtual_server = "inner-tunnel" #soh = yes #soh_virtual_server = "soh-server" } mschapv2 { #send_error = no } }
※上記設定で、エラーは無いです。
■M4100側スイッチ設定 - Configグローバル設定
■Radius クライアント設定
#configure (config)#dot1x system-auth-control (config)#aaa authentication dot1x default radius (config)#authorization network radius (config)#radius server host auth "172.16.254.50" name "RADIUS Server" (config)#radius server key auth "172.16.254.50" test123123 (config)#radius server primary "172.16.254.50" (config)#exit # #configure (config)#interface 0/1 (interface 0/1)#dot1x port-control force-authorized (interface 0/1)#vlan participation exclude 1 (interface 0/1)#routing (interface 0/1)#ip address 172.16.10.254 255.255.255.0 (interface 0/1)#exit (config)# # #configure (config)#interface 0/2 (interface 0/2)#dot1x port-control mac-based (interface 0/2)#vlan participation exclude 1 (interface 0/2)#routing (interface 0/2)#ip address 172.16.10.254 255.255.255.0 (interface 0/2)#exit (config)# # #configure (config)#interface 0/8 (interface 0/8)#dot1x port-control force-authorized (interface 0/8)#vlan participation exclude 1 (interface 0/8)#routing (interface 0/8)#ip address 172.16.254.254 255.255.255.0 (interface 0/8)#exit (config)#exit #
■Windows8.1 64bit home
■ユーザ(サプリカント)設定
※このpcは2番ポート(認証必要)ポートにつないでます。
【認証】>IEEE 802.1X 認証を有効にする [レ]にチェック
【認証】>ネットワークの認証方法の選択 「Microsoft:保護されたEAP(PEAP)」選択
【認証】>ネットワークの認証方法の選択>【設定】
接続のための認証方法:
サーバーの証明書を検証する[レ]
次のサーバーに接続する[ ]
信頼されたルート証明機関[ 選択なし ]
認証方法を選択する「セキュリティで保護されたパスワード(EAP-MSCHAP v2)」
認証方法を選択する>【構成】>Windowsのログオフ名とパスワードを自動的に使う[ ]
以上が、サプリカントの設定
因みに、RADIUSサーバのログは以下のとおりです。
Sat Oct 29 04:58:33 2016 : Auth: Login OK: [test] (from client test port 1812)
....
Sat Oct 29 05:08:01 2016 : Auth: Login OK: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:08:01 2016 : Auth: Login OK: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 05:09:02 2016 : Auth: Login OK: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:09:02 2016 : Auth: Login OK: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 05:09:27 2016 : Auth: Login incorrect: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:09:27 2016 : Auth: Login incorrect: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 06:17:13 2016 : Info: Signalled to terminate
Sat Oct 29 06:17:13 2016 : Info: Exiting normally.
Sat Oct 29 06:17:14 2016 : Info: Loaded virtual server <default>
Sat Oct 29 06:17:14 2016 : Info: Loaded virtual server inner-tunnel
Sat Oct 29 06:17:14 2016 : Info: Ready to process requests.
Sun Oct 30 22:17:34 2016 : Info: Signalled to terminate
Sun Oct 30 22:17:34 2016 : Info: Exiting normally.
Sun Oct 30 22:17:35 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:17:35 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:17:35 2016 : Info: Ready to process requests.
Sun Oct 30 22:37:08 2016 : Info: Signalled to terminate
Sun Oct 30 22:37:08 2016 : Info: Exiting normally.
Sun Oct 30 22:37:09 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:37:09 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:37:09 2016 : Info: Ready to process requests.
Sun Oct 30 22:39:58 2016 : Info: Signalled to terminate
Sun Oct 30 22:39:58 2016 : Info: Exiting normally.
Sun Oct 30 22:39:59 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:39:59 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:39:59 2016 : Info: Ready to process requests.
Sun Oct 30 22:43:11 2016 : Info: Signalled to terminate
...
Sun Oct 30 23:05:41 2016 : Auth: Login OK: [test] (from client test port 1812)
※途中でserverの時間同期させてます。昨日の夜20時ぐらいに一回認証通ってます。
理由はわかりません。
回答1件
0
ベストアンサー
コマンドラインから radiusd -X でフォアグラウンドで起動した状態で EAP-PEAP でアクセスすると、デバッグログが出力されますので、何かわかるかもしれません。
また、eapol_test コマンドを用意して、ローカルホストからテストすると、freeradius に原因があるのか、スイッチや Windows に原因があるのか、切り分けになると思います。
下記 URL が参考になると思います。
投稿2016/10/31 09:54
総合スコア12173
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/11/04 17:14