[RESOLU] Lien FreeRadius / Openldap

Recherche :

Dernière réponse
Sujet : [RESOLU] Lien FreeRadius / Openldap
ewok2	C'est bon j'ai trouvé! A priori le pb etait le "No NT-Password" Le nginx doit envoyer j'imagine le passwort en "cleartext" et le point d'acces Wifi en passe en mode PEAP avec le password en "NT-Password" Du coup une solution qui marche (mais apparement un peu faible coté secu serai de mettre dans la conf freeradius en face de " Default EAP Type" dans la section PEAP "GTC au lieu de "MSCHAP-V2" Vu que le password est a priori en MD5 coté ldap et que MD5 et MSCHAP-V2 ne sont pas compatible... Reste plus qu'a trouver un parametre mieux que GTC d'un pouint de vue secu. Je met le sujet en resolu, mais si vous avez un lien bien fait sur le fonctionnement ldap ca m'interesse :-)

Dernière réponse

Sujet : [RESOLU] Lien FreeRadius / Openldap

ewok2

C'est bon j'ai trouvé!
A priori le pb etait le "No NT-Password"
Le nginx doit envoyer j'imagine le passwort en "cleartext" et le point d'acces Wifi en passe en mode PEAP avec le password en "NT-Password"
Du coup une solution qui marche (mais apparement un peu faible coté secu serai de mettre dans la conf freeradius en face de " Default EAP Type" dans la section PEAP "GTC au lieu de "MSCHAP-V2"
Vu que le password est a priori en MD5 coté ldap et que MD5 et MSCHAP-V2 ne sont pas compatible...

Reste plus qu'a trouver un parametre mieux que GTC d'un pouint de vue secu.
Je met le sujet en resolu, mais si vous avez un lien bien fait sur le fonctionnement ldap ca m'interesse :-)

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

ewok2

Bonjour
J'ai un serveur FreeRadius qui tourne sur mon pfsense et qui gère les accès au point d’accès Wifi.
Il marche bien (avec les user et mot de passe déclaré dans le freeradius de pfsense.
Par contre j'aimerai installer un serveur Openldap pour centraliser les user et mot de passe de différents services.
Et du coup utiliser la base ldap pour les user freeRadius.

Je n'y connais pas grand chose a openLdap... j'ai tenté de lire differents articles dessus mais il y a beaucoup de tuto mais pas beaucoup d'explication general sur openldap pour les debutant :-)

J'ai déjà réussi a valider une chaîne d'authentification
nginx => PAM => freeRadius => openldap
Et j'ai bien les accès a mon site web géré par l'annuaire ldap.

Par contre je n'arrive pas a faire marcher
AP_Wifi => freeRadius => openldap (alors que AP_Wifi => freeRadius marche...)

mon pb c'est que je n'ai pas la possibilité de lancer le "radtest" depuis le point d'acces wifi (il m'avait bien aidé pour configurer le nginx => openldap...)

Quand je tente un acces au Wifi j'ai les log suivant au niveau du freeRadius :

Citation :

Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): ["user"/<via Auth-Type = eap>] (from client AP_Wifi port 0 via TLS tunnel) "user"
Auth: (23) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): ["user"/<via Auth-Type = eap>] (from client AP_Wifi port 0 cli "Mac Adresse") "user"

Et au niveau du serveur openldap j'ai des log qui font penser que tout va bien... (reponse qui ressemble a celle qui marche avec nginx)

Citation :

slapd debug conn=1036 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
slapd debug conn=1038 op=0 BIND dn="cn=admin,dc=mydomain,dc=net" method=128
slapd debug conn=1038 op=0 BIND dn="cn=admin,dc=mydomain,dc=net" mech=SIMPLE ssf=0
slapd debug conn=1038 op=0 RESULT tag=97 err=0 text=
slapd debug conn=1038 fd=16 ACCEPT from IP=192.168.xx.yy:1992 (IP=0.0.0.0:389)
slapd debug conn=1037 op=1 UNBIND
slapd debug conn=1037 fd=12 closed

Auriez vous des idées sur le pb ?
Ou des articles qui permettent de comprendre un peu mieux le couplage freeRadius / openldap (car meme si nginx => freeradius => openldap marche il est possible que je n'ai pas tout configuré sous openldap...)

Merci