freeradius增加Access-Challenge支持

2014-02-14 19:12:30 4216 收藏
分类专栏: 故障分析 手记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axman/article/details/19208215
版权

以2.2.3为基础,其它版本找到对应位置修改。

freeradius默认的逻辑不支持Access-Challenge,只在特定auth-type中Access-Challenge,在auth.c中 只对request->proxy_reply包进行处理,所以你在普通逻辑中如果想返回Access-Challenge必须增加逻辑:

jradius中:

                              RadiusPacket reply = new AccessChallenge();
                                reply.setIdentifier(rep.getIdentifier());
                                reply.addAttribute(new Attr_Prompt(Attr_Prompt.NoEcho));
                                reply.addAttribute(new Attr_ReplyMessage("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"));
                                reply.addAttribute(new Attr_State("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"));
                                jRequest.setReplyPacket(reply);

                               //这里为了防止freeradius中增加逻辑的负作用(防止其它逻辑走进来),可以加其它不常用的Attribute作为条件
                                jRequest.setReturnValue(JRadiusServer.RLM_MODULE_OK);
                                return false;

auth.c中:

int rad_authenticate(REQUEST *request) 函数开始增加几个判断:

        VALUE_PAIR *state;
        VALUE_PAIR *prompt;

       VALUE_PAIR *上面定义的一个不常用的attribute;

找到

#ifdef WITH_PROXY
 authenticate:
#endif

在下面加上

        state =  pairfind(request->reply->vps, PW_STATE);
        prompt = pairfind(request->reply->vps, PW_PROMPT);

       不常用的attribute = pairfind(request->reply->vps, PW_不常用的attribute);

       if(state && prompt && 不常用的attribute){

            //这里可remove掉那个不常用的attribute

                request->reply->code = PW_ACCESS_CHALLENGE;
                RDEBUG("Change reply code to Access-Challenge.");
                return RLM_MODULE_OK;

       }

不能往前加啊

OK,重新编译可以正常返回Access-Challenge了。


另外解决WARNING: Please update your configuration, and remove 'Auth-Type = Local'

如果你不在意出现这个警告,你可以无视,但是底快去多做了一些无用的逻辑。

如果你不需要支持Access-Challenge,那么在default中配置

authorize {
    jradius
    pap
}

只需加一行pap(mschap)就可以消除Access-Accept时的警告。

但是如果你按上面修改支持Aceess-Challenge时,Aceess-Challenge响应使用pap加密时FreeRaiuds会检测密码,如果没有会警告:

WARNING! No "known good" password found for the user.  Authentication may fail because of this.

解决方法有两种,一种是在

jRequest.setReplyPacket(reply);前加上一句:

jRequest.getConfigItems().add(new Attr_UserPassword());
rlm_pap.c中pap_authorize方法只要看到有这个属生就行了,值不重要:

        switch (vp->attribute) {
        case PW_USER_PASSWORD: /* deprecated */
            found_pw = TRUE;

 found_pw 为true就不会打印警告。这个加进去的Attr_UserPassword你可以在上面修改的地方之前前面把它detele掉就不会发到客户端了.

        password_pair =  pairfind(request->config_items, PW_USER_PASSWORD);
        if (password_pair) {
                pairdelete(&request->config_items, PW_USER_PASSWORD);
                password_pair = NULL;
        }

        request->reply->code = PW_ACCESS_CHALLENGE;
        RDEBUG("Change reply code to Access-Challenge.");
        return RLM_MODULE_OK;


但这样太猥琐了,当启用pap时可以把上面的判断移到这里:找到

if (!found_pw) {

在下面加上

        if(request->reply && pairfind(request->reply->vps, PW_STATE)  &&

                pairfind(request->reply->vps, PW_PROMPT)){

                request->reply->code = PW_ACCESS_CHALLENGE;

                RDEBUG("Change reply code to Access-Challenge.");
                return RLM_MODULE_NOOP;  //不是RLM_MODULE_OK

       }

这时,auth.c就不必要加加这个判断,只需要在


#ifdef WITH_PROXY
authenticate:
#endif
下面加上:                       
    if (request->reply && request->reply->code == PW_ACCESS_CHALLENGE) {
        return RLM_MODULE_OK;
    }


就OK了。


已标记关键词 清除标记
配置freeradius各种限制
weixin_34186950的博客
02-07 249
设置用户过期时间 例如、限制名为sxy的用户过期日期为2006年7月6号14时55分22秒、只需要写在radcheck表就行了 INSERT INTO `radius`.`radcheck` (`id` ,`username` ,`attribute` ,`op` ,`value`)VALUES (NULL , 'sxy', 'Expiration', ':=', '06 Jun...
表情包
插入表情
还能输入1000个字符
相关推荐
freeradius 802.1X EAP-PEAP 认证失败问题的解决
perddy的专栏
03-09 1万+
使用freeradius 2.1.12版本测试 EAP-PEAP认证过程中,总是无法认证成功,查看相关的LOG显示, EAP-TLS 和 TUNNEL都已经完成,但是在mschapv2过程中出现报错, 经过检查 default文件中eap和sql相关的配置都配置没有问题;进一步分析LOG,报错位置在 Executing group from file /usr/local/etc/raddb/s
安装和修改freeradius增加PPPOE服务器帐号连接数限制
liswa 电脑备忘录
04-30 6974
(昨天没有来得及记录下来,现在回到家里再补写,代码5.7过完假后再补贴)  由于我在linux下架设的pppoe服务器没有办法防止一个帐号多人使用,使用pppoe-server+freeradiusd,似乎只要帐号和密码一核对通过,那么就可以上网了,一个帐号可以n个人使用。虽然我之前用修改sql.conf中验证和postAuth的办法,在验证地方加上了mac地址认证,但是mac地址在系统下可以
Freeradius配置文件radiusd.conf分析(部分)
12-11 3926
Radiusd.conf文件是freeradius的核心配置文件,其中设置了 服务器的基本信息, 配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息, 与认证和计费所使用模块的配置.配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变. 变量的格式参照 variables.txt.1.1 环境变量此处定义其他配置文
FreeRadius安装配置
王浩的技术博客
07-23 150
自己整理的FreeRadius安装配置过程,大部分资料都是从网上收集的。每一步都经过验证,记录下来归档。 解压 tar -zxvf freeradius-server-2.1.12.tar.gz cd freeradius-server-2.1.12 安装 ./configure make make install 调试 radiusd -X Listening on au...
RADIUS+802.1X WLAN接入认证 +Dynamic VLAN
Lj的记事本
03-17 8464
802.1x的认证过程 认证过程可以由用户主动发起,也可以由认证系统发起。一方面当认证系统探测到有未经过认证的用户使用网络时,就会主动向客户端发送EAP-Request/Identity报文,发起认证;另一方面客户端可以通过客户端软件向认证系统发送EAPOL-Start报文,发起认证。 802.1x系统支持EAP中继方式和EAP终结方式与RADIUS对接,从而利用远端的RADIUS服务器完成认
radius介绍
ENDLESS
04-22 1万+
              最近一直在做freedius.net,freeradius这个东西原本是在linux下的radius服务器。              可是呢现在要用到windows下,虽然有windows的版本——freeradius.net。但是很可笑的是.net竟然没有连接mssql的驱动,在google上找了很久,没有解决的办法。于是想把radius服务器放linux下的,
Linux系统编程:入门篇视频教程
10-16
Linux系统编程视频课程为《Linux系统编程》入门篇,主要针对零基础的Linux开发学员科普Linux系统编程的概念以及需要掌握的各种技能,掌握Linux命令编写、Linux学习路线并熟悉嵌入式设备编程的方法。为后续的Linux系统编程深入学习打下良好的基础。
蓝桥杯软件类竞赛---手算题攻略
罗勇军的博客
04-17 1万+
蓝桥杯填空题--手算秘籍
去年两万多买的Python教程,现在分享给大家
weixin_56957149的博客
04-13 5325
去年九月份花了两万多买的Python教程,现在免费分享给他家,我已经学完就业了,现在想免费分享给大家。 Python可以说是所有语言中最好上手的语言,简单易学,掌握正确的学习方法,入门到精通一个月的时间就足够了。 强推这套视频,一步一步跟着往下学就好了,虽然视频是有了,能不能消化还得看你自己哦。 好啦~今天的分享就到这里啦。 想要的小伙伴可以点赞、收藏+关注我,然后在评论去留言私信“学习”,就能收到价值两万的资料啦。 ...
Java处理Radius access-challenge
04-30 53
最近使用RSAAuthentication Manager, 并且与其自带的Radius server整合, RSA的Radius server 配置不太透明, 目前只配成功了PAP方式的验证,CHAP目前不成功。 RSA Radius在token输错3次后有要求用户输入next token的安全设置方式, 开始不知道java如何处理,后来查了一些资料,Radius协议本身是无...
wifi认证Portal开发系列(三):portal协议
bangbang0203的博客
12-04 392
中国移动WLAN业务PORTAL协议规范介绍 一、用户上线认证流程 上线流程完成用户账号的认证,并把认证结果通知Portal Server,Portal server将会通知WLAN用户并且显示相应的认证结果。 用户上线认证方式有两种:CHAP和PAP,其中CHAP方式为必选功能,PAP方式为可选功能。 1.1、用户上线Chap认证流程 用户访问网站,经过...
IEEE 802.1X-PEAP认证过程分析(抓包)
hanfs390的博客
02-09 1万+
IEEE 802.1X-PEAP认证过程分析(抓包)本文介绍IEEE802.1X认证的PEAP认证方式,是带有radius服务器的EAP中继认证。IEEE802.1X认证是使用EAP报文格式在申请者和认证者之间交换信息。带有radius服务器,即认证者不对申请者发送的数据进行解析处理,而是封装后直接转发给radius服务器。由radius服务器进行处理。PEAP认证方式,是在此基础上,首先建...
浅谈Radius协议
wangpengqi的专栏
12-03 3万+
从事Radius协议开发有段时间了,小弟不怕才疏学浅,卖弄一下,从RADIUS协议谈谈对身份认证的认识,也总结一下自己。   一.RADIUS协议原理           RADIUS(Remote Authentication Dial In User Service) 用户远程拨入认证服务,它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin等。RADIUS协议应用
Radius 认证协议介绍-兼rfc导读
weixin_30861459的博客
12-20 88
老规矩, 先看维基: 远端用户拨入验证服务(RADIUS, Remote Authentication Dial In User Service)是一个AAA协议,意思就是同时兼顾验证(authentication)、授权(authorization)及计费(accounting)三种服务的一种网络传输协议(protocol),通常用于网络存取、或流动IP服务,适用于局域网及漫游服务。https:...
RADIUS原理介绍及其在Linux下的搭建
鹰之翔——freefalcon的个人专栏
11-02 5965
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin等。 其主要特征有: 1. 客户机/服务器(C/S)模式 一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作
Radius/Free Radius/Diameter协议
情义唯真,友谊方长存
06-10 4056
RADIUS( Remote Access Dial In User Service) Protocol主要用来提供认证(Authentication)机制,用来辨认使用者的身份与密码,确认通过之后,经由授权(Authorization)使用者登入网域使用相关资源,并可提供计费(Accounting)机制,保存使用者的网络使用记录。Radius协议详细介绍可参见RFC2865,RFC2866。RA
RADIUS指南(上:基础知识)
coldljy的专栏
08-17 2150
  1 简介RADIUS(Remote Authentication Dial-In User Service)远程用户拨号认证服务 RADIUS 是一种广泛应用的协议,允许商业机构对访问中央网络服务器上系列服务的远程用户进行认证、授权、计费。协议中提供了完整而详细的基础指导条目。 1.1 AAARADIUS最初由Livingston Enterprises开发,基于常
Radius协议简单介绍
RYCookie的博客
05-31 2万+
Radius协议详细说明 Radius协议是什么:     Radius是Remote Authentication Dial In User Service的简称,即远程验证拨入用户服务。当用户想要通过某个网络(如电话网)与网络接入服务器NAS(NetworkAccess Server)建立连接从而获得访问其它网络的权力时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给Ra
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页