[RESOLU] Lien FreeRadius / Openldap

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [RESOLU] Lien FreeRadius / Openldap

ewok2

Bonjour
J'ai un serveur FreeRadius qui tourne sur mon pfsense et qui gère les accès au point d’accès Wifi.
Il marche bien (avec les user et mot de passe déclaré dans le freeradius de pfsense.
Par contre j'aimerai installer un serveur Openldap pour centraliser les user et mot de passe de différents services.
Et du coup utiliser la base ldap pour les user freeRadius.

Je n'y connais pas grand chose a openLdap... j'ai tenté de lire differents articles dessus mais il y a beaucoup de tuto mais pas beaucoup d'explication general sur openldap pour les debutant :-)

J'ai déjà réussi a valider une chaîne d'authentification
nginx => PAM => freeRadius => openldap
Et j'ai bien les accès a mon site web géré par l'annuaire ldap.

Par contre je n'arrive pas a faire marcher
AP_Wifi => freeRadius => openldap (alors que AP_Wifi => freeRadius marche...)

mon pb c'est que je n'ai pas la possibilité de lancer le "radtest" depuis le point d'acces wifi (il m'avait bien aidé pour configurer le nginx => openldap...)

Quand je tente un acces au Wifi j'ai les log suivant au niveau du freeRadius :

Citation :

Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): ["user"/<via Auth-Type = eap>] (from client AP_Wifi port 0 via TLS tunnel) "user"
Auth: (23) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): ["user"/<via Auth-Type = eap>] (from client AP_Wifi port 0 cli "Mac Adresse") "user"

Et au niveau du serveur openldap j'ai des log qui font penser que tout va bien... (reponse qui ressemble a celle qui marche avec nginx)

Citation :

slapd debug conn=1036 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
slapd debug conn=1038 op=0 BIND dn="cn=admin,dc=mydomain,dc=net" method=128
slapd debug conn=1038 op=0 BIND dn="cn=admin,dc=mydomain,dc=net" mech=SIMPLE ssf=0
slapd debug conn=1038 op=0 RESULT tag=97 err=0 text=
slapd debug conn=1038 fd=16 ACCEPT from IP=192.168.xx.yy:1992 (IP=0.0.0.0:389)
slapd debug conn=1037 op=1 UNBIND
slapd debug conn=1037 fd=12 closed

Auriez vous des idées sur le pb ?
Ou des articles qui permettent de comprendre un peu mieux le couplage freeRadius / openldap (car meme si nginx => freeradius => openldap marche il est possible que je n'ai pas tout configuré sous openldap...)

Merci

Message édité par ewok2 le 18-03-2022 à 09:14:35

Publicité

ewok2

C'est bon j'ai trouvé!
A priori le pb etait le "No NT-Password"
Le nginx doit envoyer j'imagine le passwort en "cleartext" et le point d'acces Wifi en passe en mode PEAP avec le password en "NT-Password"
Du coup une solution qui marche (mais apparement un peu faible coté secu serai de mettre dans la conf freeradius en face de " Default EAP Type" dans la section PEAP "GTC au lieu de "MSCHAP-V2"
Vu que le password est a priori en MD5 coté ldap et que MD5 et MSCHAP-V2 ne sont pas compatible...

Reste plus qu'a trouver un parametre mieux que GTC d'un pouint de vue secu.
Je met le sujet en resolu, mais si vous avez un lien bien fait sur le fonctionnement ldap ca m'interesse :-)

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[RESOLU] Lien FreeRadius / Openldap

Sujets relatifs
freeradius problème	Openldap
[résolu]Javascript problème lien de page html vers .js	Client LDAP non soumis aux ACLs OpenLDAP
[Thunderbird] Lien vers réseau local invalide	TV connectée sous Linux ? [Résolu ailleurs, lien donné]
Serveur Freeradius avec postes sous windows	lien udev vers disk (et non partition)
Probleme de suppression de lien symbolique	Openldap + Freeradius : comment les relier ?
Plus de sujets relatifs à : [RESOLU] Lien FreeRadius / Openldap

Page générée en 0.020 secondes