質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.57%

FreeRADIUSをスイッチに設定し、認証を試みてますが認証がうまくできず通信できてません

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 4,769

yukkyooooo

score 12

RADIUS設定をしてるんですがうまく認証ができず
困っております。お力を貸して頂けましたら幸いです。
設定等は以下に記載いたします。※構成図は一番下に記載します
■FreeRadiusサーバに設定
■Radius サーバ設定

※Debian OSですが、FWは切ってあり、in/out/forward/すべて許可です。
※radtest -4 test password 172.16.254.50 1812 test123123
でAccess-Acceptが帰ってきています。

因みに、
interface 0/1は非認証ポートです。ここにはWindows等がつながってます。
interface0/2が認証ポートです。ここにつなぐ機器はすべてRADIUSで認証通らないと通信不可にしたい
inteface 0/8 は RADIUSサーバです。
interface 0/12はインターネット側ポート

clients.conf

client 172.16.254.0/24 {

    secret = test123123
    shortname = localnet
}

radiusd.conf

user = root
group = root

listen {
    type = auth
    port = 1812
}
log {
    auth = yes
}

users

test Cleartext-Password := "password"
# Reply-Message = "Hello, %{User-Name}"

eap.conf

eap {
        default_eap_type = md5
        timer_expire     = 60
        ignore_unknown_eap_types = no
        cisco_accounting_username_bug = no
        max_sessions = ${max_requests}
        md5 {
        }

        leap {
        }

        gtc {
            auth_type = PAP
        }
        tls {
            certdir = ${confdir}/certs
            cadir = ${confdir}/certs
            private_key_password = whatever
            private_key_file = ${certdir}/server.key

            certificate_file = ${certdir}/server.pem
            CA_file = ${cadir}/ca.pem

            dh_file = ${certdir}/dh
            random_file = /dev/urandom
        #    fragment_size = 1024
        #    include_length = yes
        #    check_crl = yes

            CA_path = ${cadir}

        #       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd"
        #    check_cert_cn = %{User-Name}
            cipher_list = "DEFAULT"

        #    virtual_server = check-eap-tls

            make_cert_command = "${certdir}/bootstrap"

            ecdh_curve = "prime256v1"

            cache {

                  enable = no

                  max_entries = 255
            }

            verify {
        #             tmpdir = /tmp/radiusd
        #            client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}"
            }
            ocsp {

                  enable = no

                  override_cert_url = yes

                  url = "http://127.0.0.1/ocsp/"

                  # use_nonce = yes
                  # timeout = 0

                  # softfail = no
            }
        }

        ttls {

            default_eap_type = md5
            default_eap_type = mschapv2

            copy_request_to_tunnel = no
            use_tunneled_reply = yes

            virtual_server = "inner-tunnel"
        #    include_length = yes
        }

        peap {

            default_eap_type = mschapv2
            use_tunneled_reply = no

            #proxy_tunneled_request_as_eap = yes

            virtual_server = "inner-tunnel"
            #soh = yes

            #soh_virtual_server = "soh-server"
        }

        mschapv2 {
            #send_error = no
        }
    }


※上記設定で、エラーは無いです。

■M4100側スイッチ設定 - Configグローバル設定
■Radius クライアント設定

#configure
(config)#dot1x system-auth-control
(config)#aaa authentication dot1x default radius
(config)#authorization network radius
(config)#radius server host auth "172.16.254.50" name "RADIUS Server"
(config)#radius server key auth "172.16.254.50" test123123
(config)#radius server primary "172.16.254.50"
(config)#exit
#

#configure
(config)#interface 0/1
(interface 0/1)#dot1x port-control force-authorized
(interface 0/1)#vlan participation exclude 1
(interface 0/1)#routing
(interface 0/1)#ip address 172.16.10.254 255.255.255.0
(interface 0/1)#exit
(config)#
#

#configure
(config)#interface 0/2
(interface 0/2)#dot1x port-control mac-based
(interface 0/2)#vlan participation exclude 1
(interface 0/2)#routing
(interface 0/2)#ip address 172.16.10.254 255.255.255.0
(interface 0/2)#exit
(config)#
#

#configure
(config)#interface 0/8
(interface 0/8)#dot1x port-control force-authorized
(interface 0/8)#vlan participation exclude 1
(interface 0/8)#routing
(interface 0/8)#ip address 172.16.254.254 255.255.255.0
(interface 0/8)#exit
(config)#exit
#

■Windows8.1 64bit home
■ユーザ(サプリカント)設定
※このpcは2番ポート(認証必要)ポートにつないでます。

【認証】>IEEE 802.1X 認証を有効にする [レ]にチェック
【認証】>ネットワークの認証方法の選択 「Microsoft:保護されたEAP(PEAP)」選択
【認証】>ネットワークの認証方法の選択>【設定】
接続のための認証方法:
サーバーの証明書を検証する[レ]
次のサーバーに接続する[ ]
信頼されたルート証明機関[ 選択なし ]
認証方法を選択する「セキュリティで保護されたパスワード(EAP-MSCHAP v2)」
認証方法を選択する>【構成】>Windowsのログオフ名とパスワードを自動的に使う[ ]

以上が、サプリカントの設定

因みに、RADIUSサーバのログは以下のとおりです。
Sat Oct 29 04:58:33 2016 : Auth: Login OK: [test] (from client test port 1812)
....
Sat Oct 29 05:08:01 2016 : Auth: Login OK: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:08:01 2016 : Auth: Login OK: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 05:09:02 2016 : Auth: Login OK: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:09:02 2016 : Auth: Login OK: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 05:09:27 2016 : Auth: Login incorrect: [test] (from client test port 0 via TLS tunnel)
Sat Oct 29 05:09:27 2016 : Auth: Login incorrect: [test] (from client test port 2 cli XX:XX:XX:XX:XX:XX)
Sat Oct 29 06:17:13 2016 : Info: Signalled to terminate
Sat Oct 29 06:17:13 2016 : Info: Exiting normally.
Sat Oct 29 06:17:14 2016 : Info: Loaded virtual server <default>
Sat Oct 29 06:17:14 2016 : Info: Loaded virtual server inner-tunnel
Sat Oct 29 06:17:14 2016 : Info: Ready to process requests.
Sun Oct 30 22:17:34 2016 : Info: Signalled to terminate
Sun Oct 30 22:17:34 2016 : Info: Exiting normally.
Sun Oct 30 22:17:35 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:17:35 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:17:35 2016 : Info: Ready to process requests.
Sun Oct 30 22:37:08 2016 : Info: Signalled to terminate
Sun Oct 30 22:37:08 2016 : Info: Exiting normally.
Sun Oct 30 22:37:09 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:37:09 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:37:09 2016 : Info: Ready to process requests.
Sun Oct 30 22:39:58 2016 : Info: Signalled to terminate
Sun Oct 30 22:39:58 2016 : Info: Exiting normally.
Sun Oct 30 22:39:59 2016 : Info: Loaded virtual server <default>
Sun Oct 30 22:39:59 2016 : Info: Loaded virtual server inner-tunnel
Sun Oct 30 22:39:59 2016 : Info: Ready to process requests.
Sun Oct 30 22:43:11 2016 : Info: Signalled to terminate
...
Sun Oct 30 23:05:41 2016 : Auth: Login OK: [test] (from client test port 1812)

※途中でserverの時間同期させてます。昨日の夜20時ぐらいに一回認証通ってます。
理由はわかりません。

イメージ説明

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

コマンドラインから radiusd -X でフォアグラウンドで起動した状態で EAP-PEAP でアクセスすると、デバッグログが出力されますので、何かわかるかもしれません。

また、eapol_test コマンドを用意して、ローカルホストからテストすると、freeradius に原因があるのか、スイッチや Windows に原因があるのか、切り分けになると思います。
下記 URL が参考になると思います。

RADIUSサーバをたててみた…ときのひっかかったポイント «  てっく★ゆきろぐ Rev2

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/05 02:14

    Debugモードで起動させていろいろ検証した結果
    L2SW側に対応したEAPでなかったことが原因でした eap.conf
    また、無線APにも同じように設定したところMABとして正しく動作しておりましたので
    解決いたしました。
    ありがとうございます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.57%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る