質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Q&A

解決済

1回答

13885閲覧

パッケージを再インストール後にサービスが起動できません

Kazuya.M

総合スコア16

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

0グッド

0クリップ

投稿2017/10/14 20:13

編集2017/10/16 04:14

###前提・実現したいこと
radiusサーバーを構築作業を前任から引き継ぎ作業しております。
openldapとradiusサーバーの連携を目指しています。
systemctlでサービスが起動できない状態でしたので、最初から作業を行いたいと考え、rpm -qa | grep radius で表示されたパッケージ一覧をremoveコマンドで削除。yum install freeradius.x86_64
yum install freeradius-ldap.x86_64
yum install freeradius-utils.x86_64
でパッケージインストール後にsystemctl start radiusで起動を試みましたがサービスの起動が出来ませんでした。現在のエラーの原因を取り除き、正常に起動させたく、ご協力をお願い致します。

###発生している問題・エラーメッセージ

systemctl status radiusd ● radiusd.service - FreeRADIUS high performance RADIUS server. Loaded: loaded (/usr/lib/systemd/system/radiusd.service; disabled; vendor preset: disabled) Active: failed (Result: exit-code) since 日 2017-10-15 04:54:37 JST; 13min ago Process: 734 ExecStartPre=/usr/sbin/radiusd -C (code=exited, status=1/FAILURE) Process: 731 ExecStartPre=/bin/chown -R radiusd.radiusd /var/run/radiusd (code=exited, status=0/SUCCESS) Main PID: 21741 (code=exited, status=0/SUCCESS) 10月 15 04:54:37 vdi-radius01 systemd[1]: Starting FreeRADIUS high performance RADIUS server.... 10月 15 04:54:37 vdi-radius01 systemd[1]: radiusd.service: control process exited, code=exited status=1 10月 15 04:54:37 vdi-radius01 systemd[1]: Failed to start FreeRADIUS high performance RADIUS server.. 10月 15 04:54:37 vdi-radius01 systemd[1]: Unit radiusd.service entered failed state. 10月 15 04:54:37 vdi-radius01 systemd[1]: radiusd.service failed.
journalctl -xe 10月 15 04:36:15 vdi-radius01 systemd[1]: Unit radiusd.service entered failed state. 10月 15 04:36:15 vdi-radius01 systemd[1]: radiusd.service failed. 10月 15 04:36:15 vdi-radius01 polkitd[809]: Unregistered Authentication Agent for unix-process:589:444624821 (system bus name :1.2882, object path /org/freed 10月 15 04:37:06 vdi-radius01 yum[603]: Installed: freeradius-3.0.13-8.el7_4.x86_64 10月 15 04:37:06 vdi-radius01 yum[603]: Installed: freeradius-sqlite-3.0.13-8.el7_4.x86_64 10月 15 04:37:07 vdi-radius01 yum[603]: Installed: freeradius-krb5-3.0.13-8.el7_4.x86_64 10月 15 04:37:07 vdi-radius01 yum[603]: Installed: freeradius-utils-3.0.13-8.el7_4.x86_64 10月 15 04:37:07 vdi-radius01 yum[603]: Installed: freeradius-ldap-3.0.13-8.el7_4.x86_64 10月 15 04:37:08 vdi-radius01 yum[603]: Installed: freeradius-perl-3.0.13-8.el7_4.x86_64 10月 15 04:37:08 vdi-radius01 yum[603]: Installed: freeradius-unixODBC-3.0.13-8.el7_4.x86_64 10月 15 04:37:08 vdi-radius01 yum[603]: Installed: freeradius-postgresql-3.0.13-8.el7_4.x86_64 10月 15 04:37:09 vdi-radius01 yum[603]: Installed: freeradius-mysql-3.0.13-8.el7_4.x86_64 10月 15 04:37:09 vdi-radius01 yum[603]: Installed: freeradius-python-3.0.13-8.el7_4.x86_64 10月 15 04:37:10 vdi-radius01 yum[603]: Installed: freeradius-devel-3.0.13-8.el7_4.x86_64 10月 15 04:37:10 vdi-radius01 yum[603]: Installed: freeradius-doc-3.0.13-8.el7_4.x86_64 10月 15 04:37:14 vdi-radius01 polkitd[809]: Registered Authentication Agent for unix-process:620:444630760 (system bus name :1.2883 [/usr/bin/pkttyagent --no 10月 15 04:37:14 vdi-radius01 systemd[1]: Starting FreeRADIUS high performance RADIUS server.... -- Subject: Unit radiusd.service has begun start-up -- Defined-By: systemd -- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel -- -- Unit radiusd.service has begun starting up. 10月 15 04:37:14 vdi-radius01 systemd[1]: radiusd.service: control process exited, code=exited status=1 10月 15 04:37:14 vdi-radius01 systemd[1]: Failed to start FreeRADIUS high performance RADIUS server.. -- Subject: Unit radiusd.service has failed
vi /var/log/radius/radius.log  Sun Oct 15 08:48:23 2017 : Error: tls: error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error Sun Oct 15 08:48:23 2017 : Error: tls: error:0907B00D:PEM routines:PEM_READ_BIO_PRIVATEKEY:ASN1 lib Sun Oct 15 08:48:23 2017 : Error: tls: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib Sun Oct 15 08:48:23 2017 : Error: rlm_eap_tls: Failed initializing SSL context Sun Oct 15 08:48:23 2017 : Error: rlm_eap (EAP): Failed to initialise rlm_eap_tls Sun Oct 15 08:48:23 2017 : Error: /etc/raddb/mods-enabled/eap[14]: Instantiation failed for module "eap" Sun Oct 15 08:50:58 2017 : Info: Debugger not attached Sun Oct 15 08:50:58 2017 : Warning: [/etc/raddb/mods-config/attr_filter/access_reject]:11 Check item "FreeRADIUS-Response-Delay" found in filter list for realm "DEFAULT". Sun Oct 15 08:50:58 2017 : Warning: [/etc/raddb/mods-config/attr_filter/access_reject]:11 Check item "FreeRADIUS-Response-Delay-USec" found in filter list for realm "DEFAULT". Sun Oct 15 08:50:58 2017 : Error: tls: Failed reading private key file "/etc/raddb/certs/server.pem" Sun Oct 15 08:50:58 2017 : Error: tls: error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt Sun Oct 15 08:50:58 2017 : Error: tls: error:23077074:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 cipherfinal error Sun Oct 15 08:50:58 2017 : Error: tls: error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error

###radiusサーバーで実施した作業

yum update yum install freeradius* -y cd /etc/raddb/mods-enabled ln -s ../mods-available/ldap ldap chown root.radiusd ldap vi /etc/raddb/mods‐available/ldap 12 server = "192.168.xxx.xxx"(LdapサーバーのIP) 16 port = 389 19 identity = "cn=Manager,dc=exampe,dc=com" 20 password = hoge 24 base_dn = "ou=People,dc=exampe,dc=com" 120 scope = 'one' 163 scope = 'one' 398 start_tls = no 400 ca_file = ${certdir}/ca.pem 403 ca_path = ${certdir} /etc/raddb/radius.conf 321 auth = yes 329 auth_badpass = yes /etc/raddb/proxy.conf ( this change probably can be obmitted) 134 ipaddr = 192.168.xxx.xxx(radiusサーバーのIP) /etc/raddb/mods‐available/eap 176 private_key_password = 1234 Add to the file /etc/raddb/mods-config/files/authorize 1 DEFAULT Auth-Type == EAP 2 Tunnel-Type = VLAN, 3 Tunnel-Medium-Type = IEEE-802 /etc/raddb/clients.conf 220 #client localhost_ipv6 { 221 # ipv6addr = ::1 222 # secret = testing1234 223 #} 268 client network { 269 ipv4addr = 192.168.124.0/24 270 proto = * 271 secret = cisco 272 require_message_authenticator = no 273 nas_type = other 274 limit { 275 max_connections = 16 276 lifetime = 0 277 idle_timeout = 30 278 } 279 } /etc/raddb/certs/ca.cnf 45 input_password = 1234 46 output_password = 1234 50 countryName = JP 51 stateOrProvinceName = TOKYO 52 localityName = TOKYO 53 organizationName = example.inc 54 #emailAddress = admin@example.com /etc/raddb/certs/server.cnf 44 input_password = 1234 45 output_password = 1234 48 countryName = JP 49 stateOrProvinceName = TOKYO 50 localityName = TOKYO 51 organizationName = example.inc 52 #emailAddress = admin@example.com 11.) Make the verification keys and so on 証明書ファイルを作成 # ディレクトリを移動 cd /etc/raddb/certs/ # CAの秘密鍵と証明書を作成 openssl req -new -x509 -keyout ca.key -out ca.pem -days `grep default_days ca.cnf | sed 's/.*=//;s/^ *//'` -config ./ca.cnf # サーバーの秘密鍵と証明書を作成 openssl req -new -out server.csr -keyout server.key -config ./server.cnf # index.txtファイルを初期化 : > index.txt # サーバー証明書にCAの署名をする openssl ca -batch -keyfile ca.key -cert ca.pem -in server.csr -key `grep output_password ca.cnf | sed 's/.*=//;s/^ *//'` -out server.crt -extensions xpserver_ext -extfile xpextensions -config ./server.cnf # サーバー秘密鍵と証明書のファイルをまとめる openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -passin pass:`grep output_password server.cnf | sed 's/.*=//;s/^ *//'` -passout pass:`grep output_password server.cnf | sed 's/.*=//;s/^ *//'` # サーバー秘密鍵と証明書のフォーマットを変換 openssl pkcs12 -in server.p12 -out server.pem -passin pass:`grep output_password server.cnf | sed 's/.*=//;s/^ *//'` -passout pass:`grep output_password server.cnf | sed 's/.*=//;s/^ *//'` # 証明書の正当性を検証 openssl verify -CAfile ca.pem server.pem # ディレクトリを移動 cd 12.) START the radius server systemctl start radius

###試したこと
yum reinstall freeradius.x86_64
yum reinstall freeradius-ldap.x86_64
yum reinstall freeradius-utils.x86_64

再起動

mysqlの完全アンインストールを参考にしてrm -rf /var/lib/radiusdで設定ファイルを削除後に再インストール

するも不変でした。ご協力をお願い致します。

###補足情報(言語/FW/ツール等のバージョンなど)
cent os 7です

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

scsi

2017/10/15 04:05

/usr/sbin/radiusd -C が失敗しているようですが、rootで実行するとどのようなエラーがでますか?またradius.serviceをenableにする必要もあると思います。
Kazuya.M

2017/10/15 04:57

ご投稿ありがとうございます。作業はrootユーザーで行っております。記載不足で申し訳ございません。enbaleコマンドもstart,restartと同じくエラーとなります。
TaichiYanagiya

2017/10/15 06:33

/var/log/radius/radius.log にエラーメッセージなどが出ていないでしょうか? また、radiusd が起動していない状態で、コマンドプロンプトから "radiusd -X" でフォアラウンド、デバッグモードで起動すると、何かわかるかもしれません。
scsi

2017/10/15 06:40

/usr/sbin/radiusd -C の実行結果とエラーログなどを取得して質問に追記してください。今の情報ではただ起動に失敗したとしかわかりません。
Kazuya.M

2017/10/16 04:10

ご投稿ありがとうございます。radius.logをみると/etc/raddb/certs/server.pemでSSL認証がうまくいってないという事ですのでこちらを取り組んでみたいと思います。またradiusd -Xを実行すると/etc/raddb/clients.conf[1]: Expecting section start brace '{' after "-*- text" Errors reading or parsing /etc/raddb/radiusd.conf地点で止まっています。/etc/raddb/radiusd.confファイルの相違点を確認していきます。
guest

回答1

0

ベストアンサー

server.pem の読み込みに失敗しているようです。
/etc/raddb/sites-available/tls の秘密鍵のパスワードは合っていますでしょうか?

投稿2017/10/16 07:28

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Kazuya.M

2017/10/16 09:42

ご回答ありがとうございます。#openssl verify -CAfile ca.pem server.pemで確認したところserver.pem: OKという結果でした。またradiusd -Xを実行すると/etc/raddb/clients.conf[1]: Expecting section start brace '{' after "-*- text" Errors reading or parsing /etc/raddb/radiusd.conf地点で止まってしまいます。現在は/etc/raddb/radiusd.confファイルの相違点を確認しております。
TaichiYanagiya

2017/10/16 14:34

"openssl verify" は server.pem に入っている証明書が CA で署名されているかどうかの確認ですね。 radius.log のエラーは server.pem に同じく入っている秘密鍵が radiusd で読み込めないということですので、実際のパスワード "1234" と /etc/raddb/sites-available/tls の設定が違うのでは? という推測です。 radiusd.conf に書式エラーがあるようですので、まずはそちらを確認ください。 また、tls を使う場合、デバッグは "radiusd -X" ではなく、"radiusd -fxx -l stdout" (-s オプションを抜く)としてみてください。
Kazuya.M

2017/10/20 06:57

/etc/raddb/sites-available/tlsは設定があっていましたが/etc/raddb/mods-enabled/eapのtls-config tls-common { private_key_password =の設定に誤りがありました。そちらを修正したら起動、OpenLDAPとの接続ができました。ご教示ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問