Author Topic: Zentyal 3.5 Radius  (Read 3340 times)

billgateska

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Zentyal 3.5 Radius
« on: April 05, 2015, 03:50:28 am »
Sziasztok!
A következő problémába futottam bele. Adott volt egy Zentyal 3.0, ahol a mai napig futott egy Radius modul hibátlanul, tanúsítványos autentikációval. Lecseréltem a szervert egy 3.5-ös verzióra az elavult 12.04 LTS miatt. Ez az utolsó verzió ugye, amiben még van Radius modul. Mindent ugyanúgy elkészítettem, mint korábban, viszont nem működik. Első körben nem futott a szolgáltatás, leállt hibával. Erre találtam megoldást, egy perl script megoldotta a freeradiusd.conf állományba történő behelyezés után. Fel tudom venni az AP klienseket, és bekapcsolni a CA-nál hogy a Radiust hitelesítse. Hiba nélkül elmenti a beállításokat, viszont a csatlakozás nem működik azonosítási problémával. Eddig úgy működött a történet, hogy minden kliensnek volt egy tanúsítványa. Ezt telepítve Windows XP,7,8 alá a megfelelő beállításokkal csont nélkül működött. Sajnos a 3.5 CA csomagja, amit kliensként letöltök nem egyezik meg a 3.0-éval. Ez lenne a legkevesebb, mert openssl-el készítek privát kulcsos pfx-et. Hibával eldobja a csatlakozást. Androidon még egy user pass is szükségeltetik a csatlakozáshoz, ott ki is írja, hogy azonosítási probléma. A logban a következő dolgot látom. [ldap] ldap_search() failed: Operations error alatta Invalid user: [Gipsz Jakab]. Természetesen ennek a usernek van CA-ja is illetve userként fel lett véve a rendszerbe. Valakinek van tapasztalata Radius-al Zentyal 3.5 alatt?
Köszönettel: Bill Gates KA

billgateska

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Zentyal 3.5 Radius
« Reply #1 on: April 05, 2015, 01:21:44 pm »
Kedves Mindenki!
Sok órás szenvedés után sikerült megoldanom a problémát! A hiba két lépésben orvosolható! Egy virtuális gépre is feltettem a 3.5-öt amin ugyanígy jelentkezett a hiba, tehát szerintem ez a modul gyárilag rosszul települ. A Radius modul állandóan eláll nem fut, erre a megoldás egy script, amit a /etc/init/freeradius.conf állomány szerkesztésével tudtam orvosolni. Az állomány végére kell beilleszteni ezt a pár sort.

post-start script
    PID=`status freeradius | egrep -oi '([0-9]+)$' | head -n1`
    echo $PID > /var/run/freeradius/freeradius.pid
end script

Ezek után már stabilan fut a modul, fel lehet venni az AP-kat, és be lehet kapcsolni a tanúsítvány alapú hitelesítést is. Viszont csatlakozásnál a /var/log/freeradius/radius.log állományban az ldap_search() failed: Operation error jelenik meg illetve az unknown user. Erre a következő megoldást találtam, ami működött. Szerkeszteni kell a következő állományt. /etc/freeradius/modules/ldap és itt a basedn sort ki kell egészíteni úgy hogy a "DC=zentyal,DC=lan" elég bekerüljön a CN=Users, mindhárom tag vesszővel elválasztva. De mivel ezt egy master állományból emeli be, ezért ezt a CN=Users, -t a /usr/share/zentyal/stubs/radius/ldap.mas állományba kell beírni. Webes felületen újraindítani a radius modult, és akkor az előtte megadott elérési úton található ldap állományba ez bekerül. Még egy buktatója van a dolognak, hogy a radiusnál azt kell kiválasztani, hogy az összes felhasználó használhassa. Ellenkező esetben sem a 3.0 sem pedig a 3.5-nél nem ment nekem. A kliensek beállítása elég egyedi. Androidnál CA és user/pass, Windows XP,7,8, elég a CA is, Iphone is csak CA, és Windows Phonera meg nem tudtam beállítani. Phone 8.1 nem támogatja a tanúsítványokat! Ha valakit komolyabban érdekel szívesen elmondom, hogyan készítek olyan pfx-et windows alá, ami tartalmazza a privát kulcsot, exportálásnál viszont azt a rendszerből kinyerni nem lehet, tehát újra felhasználni nem tudja senki, csak az eredeti CA-val működik!

A megoldásokat az angol nyelvű fórumból és egyéb fórumokban leírtakból sakkoztam ki!
« Last Edit: April 05, 2015, 01:28:54 pm by billgateska »

zsomlee

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +0/-0
    • View Profile
Re: Zentyal 3.5 Radius
« Reply #2 on: April 07, 2015, 10:07:57 pm »
Szia,

Én 4.0 alá - most már 4.1 alá - telepítettem freeradiust repoból és állítottam be. AP esetén csak tanúsítvánnyal engedsz be felhasználókat? simán domain acc alapjná nem?

zsomLEE

billgateska

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Zentyal 3.5 Radius
« Reply #3 on: April 10, 2015, 12:14:22 pm »
Kedves zsomLEE!
Igen, csak CA-val hitelesítek, és ez így a legjobb. Pfx-eket generálok privát kulccsal. Így nem lehet kiexportálni a CA-t, vagyis csak úgy, hogy újra beemelve nem megy vele a rendszer. iPhone, Android és Windowsnak is elég, utána egy batch állománnyal megcsinálom a csatlakozást. Egy kliens nincs egy perc! Amúgy sima account-tal nekem 3.0-tól felfele nem ment, mert állandóan TLS hibát kaptam, amíg CA-t nem izzítottam be nem ment.
Ugye 4.0-tól nincs benne radius. Telepítés után csak konzolból tudsz konfigolni nem? Gui nincs már hozzá?