panzerheart (panzerheart) wrote in ru_root,
panzerheart
panzerheart
ru_root

Freeradius и MS-CHAP

добрый день.
не могу заставить работать MS-CHAP.

при попытке авторизоваться (настроен aaa authenticate login на роутере cisco), получаем

rad_recv: Access-Request packet from host 192.168.180.240 port 1645, id=4, length=82
User-Name = "username"
User-Password = "password"
NAS-Port = 162
NAS-Port-Type = Virtual
Calling-Station-Id = "192.168.180.77"
NAS-IP-Address = 192.168.180.240
+- entering group authorize
expand: --username=%{mschap:User-Name} -> --username=username
expand: --password=%{User-Password} -> --password=password
Exec-Program output: NT_STATUS_OK: Success (0x0)
Exec-Program-Wait: plaintext: NT_STATUS_OK: Success (0x0)
Exec-Program: returned: 0
++[ntlm_auth] returns ok
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
rlm_realm: No '@' in User-Name = "username", looking up realm NULL
rlm_realm: No such realm "NULL"
++[suffix] returns noop
rlm_eap: No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
++[expiration] returns noop
++[logintime] returns noop
rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this.
++[pap] returns noop
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Login incorrect: [username/password] (from client r1 port 162 cli 192.168.180.77)
Found Post-Auth-Type Reject
+- entering group REJECT
expand: %{User-Name} -> username
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 4 to 192.168.180.240 port 1645
Waking up in 4.9 seconds.
Cleaning up request 0 ID 4 with timestamp +16
Ready to process requests.



ntlm при этом работает (даже тут видно, что он успешно авторизовался), и если в users выставить DEFAULT Auth-Type=ntlm_auth то запрос login отработается.
но меня это не устраивает. все это в принципе затевалось, чтобы авторизовать vpn (pptp) пользователей в AD через Radius и отдавать им Framed-IP-Address.



Я обратил внимание на строчку "auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user" однако и ntlm-auth, и ms-chap, и даже pap в соответствующем разделе конфига есть.



натолкните пожалуйста на мысли.
спасибо!
Subscribe

  • HP StorageWorks D2700

    парни, а к каким контроллерам можно подключать сей девайс? Родная документация ведет на ныне мертвый http://www.hp.com/go/D2000. В том месте где…

  • vmware player, beep!!!111

    кривой вопрос. а как запретить вмварь-плееру издавать любые звуки, чтоб при таб-таб-таб в виртуальном линухе оно не пищало? совет ссайта афтырей про…

  • dhcp

    а у вас на практике бывали сети, где было не порядка 256, а порядка 64к компов в одной подсети которым надо раздать ip адреса? я не про какой-нибудь…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment