Как исправить ошибку в FreeRadius?

Question

[Максим]

При настройке радиуса появляется ошибка

Sending Access-Request of id 32 to 127.0.0.1 port 1812
        User-Name = "shad"
        User-Password = "test"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=32, length=20

Делал по инструкции www.opennet.ru/openforum/vsluhforumID3/57240.html

ничего не пойму..

users

DEFAULT	Framed-Protocol == PPP
	Framed-Protocol = PPP,
	Framed-Compression = Van-Jacobson-TCP-IP

DEFAULT	Hint == "CSLIP"
	Framed-Protocol = SLIP,
	Framed-Compression = Van-Jacobson-TCP-IP

DEFAULT	Hint == "SLIP"
	Framed-Protocol = SLIP

shad  Auth-Type := Local, User-Password == "test"
   Service-Type = Framed-User,
   Framed-Protocol = PPP,
   Framed-IP-Address = 192.168.1.5,
   Framed-IP-Netmask = 255.255.255.0,

clients.conf

client 127.0.0.1 {
	secret      = 123
	shortname   = localhost
	nastype     = other
}

выхлоп с консоли

Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 57010, id=82, length=74
        User-Name = "shad"
        User-Password = "test"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 1812
        Message-Authenticator = 0x24074592e82759924785f8deb3919b50
# Executing section authorize from file /etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "shad", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
WARNING: Found User-Password == "...".
WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See "man rlm_pap" for more information.
[files] users: Matched entry shad at line 13
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
++[pap] returns noop
Found Auth-Type = Local
WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.
No "known good" password was configured for the user.
As a result, we cannot authenticate the user.
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> shad
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 82 to 127.0.0.1 port 57010
Waking up in 4.9 seconds.

Answer 1

[Saenara]

Вам же прямо написали:

WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.

И вот тут еще полезно напиано.
deployingradius.com/documents/configuration/auth_t...

Comments

[Максим]

если честно, не совсем понял, что от меня хотят.. удалить строку 'Auth-Type = Local'?
Можно по-подробнее?

[Saenara]

Да, удалите это строку и настройте pap или chap.

[Максим]

@Saenara после удаления этой строки вылезло это

ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user

[Saenara]

Я же написал "И настройте pap..."

[Saenara]

Дабы избежать дальнейшего непонимания, напишите, пожалуйста:
1. что, собственно, будем авторизовывать,
2. radiusd.conf.

[Максим]

@Saenara как правильно это сделать? где почитать?

[Максим]

@Saenara будем авторизовывать клиентов wifi

[Saenara]

Какая версия freeradius? Покажите radiusd.conf.

[Максим]

prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct

name = radiusd

confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}
db_dir = ${raddbdir}
libdir = /usr/lib64/freeradius

pidfile = ${run_dir}/${name}.pid

user = radiusd
group = radiusd

max_request_time = 30

cleanup_delay = 5

max_requests = 1024

listen {
	type = auth

	ipaddr = *

	port = 0
}

listen {
	ipaddr = *
#	ipv6addr = ::
	port = 0
	type = acct
#	interface = eth0
#	clients = per_socket_clients
}

hostname_lookups = no

allow_core_dumps = no

regular_expressions	= yes
extended_expressions	= yes


log {
		destination = files

		file = ${logdir}/radius.log
	syslog_facility = daemon

		stripped_names = no


	auth = yes
	auth_badpass = yes
	auth_goodpass = yes
}

security {
		max_attributes = 200

		reject_delay = 1

		status_server = yes
}

proxy_requests  = yes
$INCLUDE proxy.conf


$INCLUDE clients.conf


thread pool {
	start_servers = 5

		max_servers = 32
	min_spare_servers = 3
	max_spare_servers = 10

		max_requests_per_server = 0
}

modules {
	
	$INCLUDE ${confdir}/modules/

		$INCLUDE eap.conf

#	$INCLUDE sql.conf
#	$INCLUDE sql/mysql/counter.conf
}

instantiate {
		exec
	expr


#	daily
	expiration
	logintime
}


$INCLUDE policy.conf

$INCLUDE sites-enabled/

[Максим]

radiusd: FreeRADIUS Version 2.1.12, for host x86_64-redhat-linux-gnu, built on Oct 3 2012 at 01:22:51

[Saenara]

Я так понимаю, что авторизовывать будете при подключении к сети, а не через hotspot?

[Saenara]

В каталоге sites-enables есть что-нибудь?

[Максим]

@Saenara да. при подключении.
в каталоге лежат три ссылки на файлы, которые находятся в sites-available

[Saenara]

Почитайте тут:
habrahabr.ru/post/170949
www.lissyara.su/articles/freebsd/security/wpa2_rad...

Т.к. Вы сразу не сказали, что будем авторизовывать WiFi, то надо настроить EAP, а не pap или chap.

[Максим]

@Saenara спасибо)) все получилось) очень благодарен.

[Saenara]

На здоровье! :-)

[Максим]

@Saenara правда, одно НО. TP LINK отказывается функционировать. использует протокол EAP. как бы теперь их подружить?

[Saenara]

Перешить на dd-wrt?
www.dd-wrt.com/site/index