Linux за българи: Форуми

Програмиране => Общ форум => Темата е започната от: boiko_tri в Nov 22, 2019, 10:56



Титла: Cisco rv 345 radius login
Публикувано от: boiko_tri в Nov 22, 2019, 10:56
Здравейте колеги,
Имам следния проблем  значи до скоро имахме над 300 rv345 бройки работата им да вдигнат по 10 site-to-site- vpn тунела и всичко работи нямат проблем.
За логини ползваме FreeRadius (freeradius-2.2.6-7.)   и тук всичко работеше с този Firmware Version: 1.0.00.33 .
Обаче от както го update на  Firmware Version:      1.0.03.15  логина умря  и не могат да се логнат  . Примерно basic конфигурацията при която работи   логина на стария   Firmware  e
client.conf

client 192.168.90.1 {
secret = key
nastype = cisco
shortname = parking
}

user.conf
parking Cleartext-Password := "parking"
       Service-Type = NAS-Prompt-User,
       Cisco-AVPair = "shell:priv-lvl=15",
      

Лично аз смятам ,че проблема е в некви групи  но вече ден го боря и не виждам  светлина ;). Да ако някой може да помогне с неква конфигурацията с радост бих я пробвал.








rad_recv: Access-Request packet from host 192.168.90.1 port 58606, id=107, length=78
        User-Name = "test"
        User-Password = "test"
        NAS-IP-Address = 192.168.90.1
        NAS-Identifier = "weblogin"
        NAS-Port = 22553
        NAS-Port-Type = Virtual
        Service-Type = Authenticate-Only
# Executing section authorize from file /etc/raddb/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[digest] = noop
[suffix] No '@' in User-Name = "test", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] = noop
[eap] No EAP-Message, not doing EAP
++[eap] = noop
[files] users: Matched entry test at line 200
++[files] = ok
++[expiration] = noop
++[logintime] = noop
++[pap] = updated
+} # group authorize = updated
Found Auth-Type = PAP
# Executing group from file /etc/raddb/sites-enabled/default
+group PAP {
[pap] login attempt with password "test"
[pap] Using clear text password "test"
[pap] User authenticated successfully
++[pap] = ok
+} # group PAP = ok
# Executing section post-auth from file /etc/raddb/sites-enabled/default
+group post-auth {
++[exec] = noop
+} # group post-auth = noop
Sending Access-Accept of id 107 to 192.168.90.1 port 58606
        User-Service-Type = Login-User
        Fortinet-Group-Name = "GRP-one"
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 107 with timestamp +817
Ready to process requests.


Титла: Re: Cisco rv 345 radius login
Публикувано от: 10101 в Nov 22, 2019, 12:55
Radius-a пуска...както знаеш
по-скоро проблема е в другата страна.
Не харесва някой атрибут.
Лог от него?
Можеш ли да покажеш от radreply attribute op value ?
radusergroup ? Това ако ползваш класическия.
Пробвай да промениш от Login-User на Shell-User?
Предлагам Shell-User защото пък в конф-а даваш privilege 15, и група фортинет.


 


Титла: Re: Cisco rv 345 radius login
Публикувано от: boiko_tri в Nov 25, 2019, 09:00
Здравей вдигнах един syslog i при логин ми показва това


2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="195"] pam_radius_auth: User test authentication succeeded

2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="196"] Localdb:authorization failed as group is NULL

2019-11-25T06:58:27+00:00 router348192 jsonrpc - - [meta sequenceId="197"] User test login fail from 192.168.90.145


Титла: Re: Cisco rv 345 radius login
Публикувано от: 10101 в Nov 25, 2019, 09:36
Като гледам си писал и на cisco ама все 5
https://community.cisco.com/t5/small-business-routers/rv345-radius-setup/td-p/3803039

Според мен трябва да си по тестваш докато пробиеш.
Отделно не си дал никаква част от това което по исках, не каза дали пробва с различни атрибути и т.н


Титла: Re: Cisco rv 345 radius login
Публикувано от: boiko_tri в Nov 25, 2019, 11:13
Здравей.
С нищо друго не съм пробвал всичко е по default . За сега  ще оставя така нещата   ще си ползвам стария firmware  ot 2018


Титла: Re: Cisco rv 345 radius login
Публикувано от: 10101 в Nov 27, 2019, 14:38
Лесно се отказа :)

http://freeradius.1045715.n5.nabble.com/Class-attributes-td5747863.html


Титла: Re: Cisco rv 345 radius login
Публикувано от: boiko_tri в Nov 29, 2019, 10:55
Здравейте ,
Проблема е решен значи първо трябва да създадем група в cisco-to да кажем  readonly на тази група и даваме права каквито ползволява cisoc-to да кажем в моя случай weblogin  readonly.
След това отиваме в конфигурационния файл    и добавяме това Class =readonly  ,  ако групата в циското е с друго име и класа променяме.

Userreadonly Cleartext-Password := "passreadonly"
       Service-Type = NAS-Prompt-User,
      Class = admin,
       Cisco-AVPair = "shell:roles=network-admin vdc-admin vdc-operator"
Да ни е честито :)


Титла: Re: Cisco rv 345 radius login
Публикувано от: 10101 в Nov 29, 2019, 21:39
Заслужих ли бира? Или заслугата е изцяло твоя :))
 [_]3 [_]3 [_]3


Титла: Re: Cisco rv 345 radius login
Публикувано от: boiko_tri в Dec 02, 2019, 20:53
Принципно да понеже ме насочи а това е 95 процента от работата :) в моя случай проба грешка и хоп бам бум