Surveiller ce forum | Commencer une nouvelle discussion

Hiérarchisé À plat Fils de discussion Ultime

Montrer 25 Montrer 50 Montrer 75 Montrer 100

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-04-16 09:38

[forum:488844]

Bonjour, Merci pour votre conseil et piste à poursuivre. Ceci dit, j'ai désactivé le https d'Alcasar et tout se met à fonctionner à merveille que ce soit en filaire ou en WiFi avec la base des utilisateurs internes. Par contre je perds mon accès à ACC via l'adresse IP externe. Et malgré un test d'accès à la base LDAP positif, mon compte utilisateur LDAP n'est pas reconnu. Vraiment bizarre ces comportements ? A suivre...

RE: Pb Radius [ Répondre ] Par : Richard REY (Rexy) on 2019-04-15 21:06	[forum:488841]
Bonsoir, Il faut donc déjà faire fonctionner ALCASAR avec un compte normal. C'est son mode d'utilisation standard. Ce qui est étonnant, c'est que le mode de fonctionnement interne est identique que ce soit avec une adresse MAC ou avec un humain (login + mdp). Comme vous avez déjà pris des habitudes avec radius, pouvez-vous investiguer de ce côté-là?

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-04-10 10:40

[forum:488831]

Bonjour, Vous confirmez qu'une V3.3.3 vierge fonctionne avec un compte normal et un compte "@MAC" ? : - Avec un compte normal : oui j'obtiens la page d'authentification mais sans succès d'accès à Internet après avoir entré login/mdp (filaire ou wifi) et ensuite à la prochaine tentative je n'ai même plus la page d'authentification qui s'affiche, - Avec un compte @MAC oui sans problème (filaire ou wifi). Importez alors votre certificat et relancez les machines de consultation. Tout fonctionne-t-il encore ? : - Je remets le certificat TERENA valide sur le serveur remis à "vierge" d'installation (tests faits avec le CA d'origine Alcasar sans différence) - Je vide tous les certificats du poste client - Je purge les caches La page d'authentification ne monte pas ! Importez votre base d'utilisateurs. Tout fonctionne-t-il encore ? : - Que la base soit vierge avec deux nouveaux comptes créés ou remplie par importation des utilisateurs issue de la version en cours de prod, cela ne change rien. Cordialement

RE: Pb Radius [ Répondre ] Par : Richard REY (Rexy) on 2019-04-08 22:46

[forum:488828]

Bonsoir, Il faut en effet tenter de connaître le paramètre qui rend votre V3.3.3. non fonctionnelle quand vous importez votre configuration - Vous confirmez qu'une V3.3.3 vierge fonctionne avec un compte normal et un compte "@MAC" ? - Importez alors votre certificat et relancez les machines de consultation. Tout fonctionne-t-il encore ? - importez votre base d'utilisateurs. Tout fonctionne-t-il encore ?

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-04-08 16:34

[forum:488827]

Bonjour, En guise de tests ce matin : Je me connecte sans soucis sur le serveur Alcasar via SSH sur la patte EXT avec son adresse IP appartenant au domaine de mon labo. Une fois connecté dans ma session ssh, si je fais un nslookup <IP de l'adresse EXT du serveur> il me donne bien le nom DNS de la machine associée. Si je fais un nslookup de ce nom DNS de la machine il ne me donne pas son IP EXT du serveur mais celle de la patte INT du serveur. Je vois dans les retours de la commande qu'il interroge bien le 127.0.0.1#53 pour le bind Dans le réseau de consultation que je sois en filaire ou en wifi : - je me connecte bien à http://alcasar - je peux télécharger le nouveau certificat dans le navigateur Mais si je clique sur la roue pour l'accès à l'ACC, je bascule en https://nomdnsdemonserveur/acc sans succès d'affichage ! Idem si je clique sur ouvrir une connexion Internet ! N'ai-je pas un problème de résolution DNS qui expliquerait la non montée de ma page d'interception lorsqu'une requête serait initiée car le message d'erreur indique à chaque fois qu'il ne connait pas l'adresse DNS EXT de mon serveur ou bien un le certificat ? Avec mes remerciements anticipés.

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-04-05 19:23

[forum:488825]

Bonsoir, Merci pour ton conseil que je viens de suivre. Je viens de repartir avec une base utilisateurs vierge. J'ai créé trois comptes dont un avec l'@MAC et le mdp 'password' pour traverser directement --> Seul ce compte passe ! Pour les deux autres comptes je n'ai pas la page d'interception pour la saisie login/mdp une fois les postes clients qui rejoignent le réseau de consultation. Le blocage est toujours à ce niveau ! J'ai fait le test avec un des deux autres comptes : # radtest 'toto' 'mdptoto' 127.0.0.1 0 $(grep '^secret_radius=' /root/ALCASAR-passwords.txt | cut -d'=' -f2-) et c'est bien validé ! Lors d'une tentative de connexion du poste client avec Radius -X, voici la trace : rlm_sql (sql): Opening additional connection (8), 1 of 24 pending slots used rlm_sql_mysql: Starting connect to MySQL server rlm_sql_mysql: Connected to database 'radius' on Localhost via UNIX socket, server version 10.1.37-MariaDB, protocol version 10 (4) [sql] = notfound (4) if (notfound) { (4) if (notfound) -> TRUE (4) if (notfound) { (4) update reply { (4) Reply-Message := "Username not found" (4) } # update reply = noop (4) [reject] = reject (4) } # if (notfound) = reject (4) } # authorize = reject (4) Using Post-Auth-Type Reject (4) # Executing group from file /etc/raddb/sites-enabled/alcasar (4) Post-Auth-Type REJECT { (4) update reply { (4) Reply-Message = "Login failed" (4) } # update reply = noop (4) attr_filter.access_reject: EXPAND %{User-Name} (4) attr_filter.access_reject: --> 64-80-99-ED-66-1F (4) attr_filter.access_reject: Matched entry DEFAULT at line 11 (4) [attr_filter.access_reject] = updated (4) } # Post-Auth-Type REJECT = updated (4) Delaying response for 1.000000 seconds (3) Sending delayed response (3) Sent Access-Reject Id 202 from 127.0.0.1:1812 to 127.0.0.1:3799 length 40 (3) Reply-Message := "Username not found" Waking up in 0.6 seconds. Waking up in 0.3 seconds. (4) Sending delayed response (4) Sent Access-Reject Id 203 from 127.0.0.1:1812 to 127.0.0.1:3799 length 40 (4) Reply-Message := "Username not found" Waking up in 1.9 seconds. (1) Cleaning up request packet ID 200 with timestamp +42 (2) Cleaning up request packet ID 201 with timestamp +42 Waking up in 0.9 seconds. (3) Cleaning up request packet ID 202 with timestamp +43 Waking up in 0.9 seconds. (4) Cleaning up request packet ID 203 with timestamp +44 Ready to process requests Quelle piste suivre pour lundi désormais d'après vous ? Merci pour votre aide et bon week-end. Bien cordialement

RE: Pb Radius [ Répondre ] Par : Laurent roux on 2019-04-03 17:57	[forum:488821]
Hello, je penche pour un pb de montée de version de base mysql ... peux-tu refaire tes users ? Sinon il y a des scripts dans le dossier alcasar-migrations qui peuvent peut être t'aider mais je ne sais pas comment ils marchent....

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-04-01 07:20

[forum:488814]

Bonjour, Cela fait depuis le mois d'Août 2018 que j'essaie vainement de faire fonctionner une nouvelle version d'Alcasar sur un nouveau serveur sans succès. Je reproduis à l'identique ma configuration réseau actuelle en production sous la version 2.9.2. J'ai toujours le même problème : la page d'authentification ne monte pas, donc l'utilisateur ne peut saisir login/mdp. La seule véritable opération que je fais est la migration des tables utilisateurs Radius en utilisant le script d'Alcasar 2.9.2 pour l'export et le script d'Alcasar 3.3.3 pour l'import. La personnalisation d'Iptables est la même et tout le reste fonctionne parfaitement bien tout est au vert ! J'ai bien mes accès SSH. J'ai bien mes accès à l'ACC sur l'IP de la patte EXT. Je retrouve bien mes utilisateurs après la migration. J'ai un certificat SSL TERENA 3 opérationnel pour la nouvelle version 3.3.3. L'installation de MAGEIA 6 version 3.3.3 ne pose aucun problème ! Si je comprends l'interprétation des logs d'activités Radius déposés précédemment, ils semblent indiquer que le serveur Radius ne peut identifier l'utilisateur alors que celui-ci ne peut s'authentifier car il ne reçoit pas la page intercept.php ?? Est-ce la piste d'investigation pour trouver la solution qui justifie que la page Intercept.php ne monte pas ? Par avance merci.

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-03-26 07:47	[forum:488803]
Ceci dit, le client se connecte sur le réseau Wifi sans demande de clef et la page d'authentification ne monte pas donc pas de saisie de login/mot de passe !

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-03-26 07:42

[forum:488802]

Pour compléter : En dehors d'une installation vierge de la version 3.3.3 sur un nouveau serveur, j'ai récupéré la base radius de ma version 2.9.2 actuellement en production avec la commande : alcasar-mysql.sh -dump --> alcasar-users-database-xxxxxxxxx-xxxxxx.sql.gz que j'ai réinjecté dans la version 3.3.3 fraichement ré-installée avec : alcasar-mysql.sh -import alcasar-users-database-xxxxxxxxx-xxxxxx.sql.gz Tout le reste semble être ok. Je lis bien l'ensemble des utilisateurs dans l'interface ACC

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-03-26 07:23	[forum:488801] DEBUG_RADIUS_2.txt (35) downloads
Bonjour, Merci pour votre aide. Voici une trace de logs avec "radiusd -X" Il semblerait que l'accès à la base radius des utilisateurs soit défaillant ? J'ai pourtant bien utilisé le script de la version 3.3.3 pour importer une base radius issue d'un dump d'une version 2.9.2 Que dois-je vérifier à votre avis ? Bien cordialement

RE: Pb Radius [ Répondre ] Par : Tom HOUDAYER on 2019-03-22 20:54

[forum:488796]

Bonsoir, Au vu de vos logs, je pense que vous n'avez pas mis le bon secret RADIUS. Essayez avec la commande suivante : # radtest 'USERNAME' 'PASSWORD' 127.0.0.1 0 $(grep '^secret_radius=' /root/ALCASAR-passwords.txt | cut -d'=' -f2-) Si vous avez modifié la page "intercept.php", assurez-vous d'avoir le bon secret (variable $uamsecret). Sinon, le plus simple est de lancer FreeRADIUS en mode debug ("systemctl stop radiusd.service" et "radiusd -X"). Connectez-vous ensuite avec un utilisateur et vous devriez voir la raison de l'échec.

RE: Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-03-22 19:07	[forum:488793] LogsRadius_22032019.txt (86) downloads
Voici un cat des logs de radius de la journée si cela peut donner une piste ? Merci Bien cordialement

Pb Radius [ Répondre ] Par : Philippe FORTIN on 2019-03-22 18:52

[forum:488792]

Bonsoir, Quand je teste le serveur Radius celui-ci ne me répond pas : Sent Access-Request Id 205 from 0.0.0.0:45701 to 127.0.0.1:1812 length 76 User-Name = "xxxxx" User-Password = "xxxxxxx" NAS-IP-Address = 192.168.182.1 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "xxxxxxxx" (0) No reply from server for ID 205 socket 3 C'est pour moi, je pense, l'origine de mon problème d'interception qui ne fonctionne pas sous la version 3.3.3 Une piste Bien cordialement