Содержание
- forum.lissyara.su
- FreeRADIUS+SAMBA+AD(+сisco)
- FreeRADIUS+SAMBA+AD(+сisco)
- Услуги хостинговой компании Host-Food.ru
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Re: FreeRADIUS+SAMBA+AD(+сisco)
- Domain value is empty when executing ntlm_auth. kindly help me to figure it out. #863
- Comments
- Ошибка 0xc0000001 при загрузке Windows 10 — как исправить
- Причины и способы исправления ошибки 0xc0000001
- Вход в среду восстановления Windows 10
- Автоматическое восстановление при загрузке
- Проверка файловой системы системного диска HDD или SSD на ошибки
- Восстановление системных файлов Windows 10
- Дополнительные методы
- Возможные аппаратные причины ошибки 0xc0000001 при загрузке компьютера или ноутбука
- Видео
- Авторизация 802.1x
- вот что в дебаге
forum.lissyara.su
Раз не осталось живых, значит мертвые — Встать!
Услуги хостинговой компании Host-Food.ru
домен win2008r2. Доступ стандартный, т.е. зарегистрированный пользователь может зайти на любую машину.
По выделенному, действительно занятно. Но насколько я помню это из за неверного указания домена. Никак не могу запомнить как надо указывать, domainuser , user@domain , DOMAINuser или user@DOMAIN . Сейчас проверю. И покажу этот же кусок лога.
при указании DOMAINuser
проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domainuser . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.
Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!
Avendeil писал(а): проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domainuser . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.
Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!
Что править? т.е. неверно указываются параметры —challenge и(или) —nt-response. Вот только скорей всего генерятся они каждый раз уникально.
то что проблема скорей всего в этом месте я решил уже 4 дня назад. Остальное время мучал гугл.
Источник
Domain value is empty when executing ntlm_auth. kindly help me to figure it out. #863
i have configured samba+windows AD integration. every thing is working fine. i have configured freeradius. i am able to do ntlm_auth, when trying with MS-CHAP, its failing.
Auth-Type MS-CHAP <
(0) mschap : Client is using MS-CHAPv1 with NT-Password
(0) mschap : Executing: «/bin/ntlm_auth —request-nt-key —username=% —domain=%<%:-SAH> —challenge=% —nt-response=%»
(0) mschap : expand: «—username=%» -> ‘—username=localadmin’
(0) mschap : No NT-Domain was found in the User-Name.
(0) mschap : expand: «—domain=%<%:-SAH>» -> ‘—domain=’
(0) mschap : mschap1: 42
(0) mschap : expand: «—challenge=%» -> ‘—challenge=423b423ebb695158’
(0) mschap : expand: «—nt-response=%» -> ‘—nt-response=70a7687e4dc235175bb6da2105f4143c8cb8a51d5e2a717a’
(0) mschap : Program returned code (1): Reading winbind reply failed! (0xc0000001)
(0) mschap : External script failed.
(0) ERROR: mschap : External script says: Reading winbind reply failed! (0xc0000001)
(0) mschap : MS-CHAP-Response is incorrect.
(0) [mschap] = reject
(0) > # Auth-Type MS-CHAP = reject
(0) Failed to authenticate the user.
(0) Login incorrect (mschap: External script says: Reading winbind reply failed! (0xc0000001)): [localadmin/](from client localhost port 0)
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/raddb/sites-enabled/default
(0) Post-Auth-Type REJECT <
(0) attr_filter.access_reject : expand: «%» -> ‘localadmin’
(0) attr_filter.access_reject : Matched entry DEFAULT at line 11
(0) [attr_filter.access_reject] = updated
(0) eap : Request didn’t contain an EAP-Message, not inserting EAP-Failure
(0) [eap] = noop
(0) remove_reply_message_if_eap remove_reply_message_if_eap <
(0) ? if (reply:EAP-Message && reply:Reply-Message)
(0) ? if (reply:EAP-Message && reply:Reply-Message) -> FALSE
(0) else else <
(0) [noop] = noop
(0) > # else else = noop
(0) > # remove_reply_message_if_eap remove_reply_message_if_eap = noop
(0) > # Post-Auth-Type REJECT = updated
(0) Finished request 0.
Waking up in 0.3 seconds.
please help me out to figure this.
mschap : expand: «—domain=%<%:-SAH>» -> ‘—domain=’
can you let me know, why empty value is taken in domain.
The text was updated successfully, but these errors were encountered:
[root@test mods-available]# /bin/ntlm_auth —request-nt-key —username=localadmin —domain=SAH —challenge=0x423b423ebb695158 —nt-response=70a7687e4dc235175bb6da2105f4143c8cb8a51d5e2a717a NT_KEY: 27B87A71E10C57DA67A9F71BFAB5E403
when i try manually with domain name. i am able to do that
The reason there’s no domain name in the debug output is because there’s no domain name in the RADIUS packets. Look at all of the debug output to see what’s gong on. Don’t look at a tiny portion.
In general, configuration questions belong on the freeradius-users list, not on github.
Источник
Ошибка 0xc0000001 при загрузке Windows 10 — как исправить
При включении компьютера или ноутбука вы можете столкнуться с ошибкой «Вашему ПК не удалось правильно загрузиться» или «Ваш компьютер необходимо восстановить» с кодом 0xc0000001, иногда — с указанием на файл WindowsSystem32winload.efi, чаще — без указания каких-либо проблемных файлов, также возможен текст «Требуемое устройство не подключено или недоступно» или текст на английском языке: «Your PC couldn’t start properly», даже в русскоязычной версии Windows 10.
В этой инструкции подробно о том, как исправить ошибку 0xc0000001 при загрузке Windows 10 в различных ситуациях, чем она может быть вызвана и дополнительная информация, которая может оказаться полезной для решения проблемы.
Причины и способы исправления ошибки 0xc0000001
Среди основных причин ошибки 0xc0000001 — отсутствие необходимых для загрузки системных файлов (или невозможность доступа к ним, например, вследствие повреждения файловой системы на диске) и проблемы с оборудованием.
Прежде чем приступать к предлагаемым методам решения проблемы, обратите внимание на следующие два нюанса:
- Если проблема появляется при первом включении компьютера или ноутбука после завершения работы, но исчезает при последующем, попробуйте отключить быстрый запуск Windows 10.
- Если на вашем компьютере несколько жестких дисков или SSD, а ошибка появилась после отключения одного из них, причиной ошибки может быть то, что на отключенном диске также находились необходимые системные файлы (даже если сама Windows 10 расположена на оставшемся диске).
- Если в БИОС в качестве первого устройства загрузки у вас выбран HDD или SSD, но также присутствует пункт Windows Boot Manager, попробуйте выбрать его.
Если предыдущие два пункта не подходят к вашей ситуации, приступаем к исправлению ошибки «Вашему ПК не удалось правильно загрузиться» или «Ваш компьютер необходимо восстановить» с кодом 0xc0000001.
Вход в среду восстановления Windows 10
Почти для любого из далее описанных методов нам потребуется войти в среду восстановления Windows 10. Как правило, при ошибке 0xc0000001 не удается использовать нажатие клавиши F8 для открытия параметров загрузки или (если предлагается) F1 для прямого входа в среду восстановления. Поэтому придётся использовать следующий метод:
- Создайте где-то на другом компьютере или ноутбуке загрузочную флешку или диск с Windows 10 (как создать: Загрузочная флешка Windows 10) и загрузитесь с неё.
- Вам будет предложено нажать любую клавишу для загрузки с флешки, а после этого запустится программа установки Windows 10.
- Наша задача — нажать «Далее» на экране выбора языка, а на следующем экране нажать по пункту «Восстановление системы» внизу слева.
В результате будет загружена среда восстановления, здесь мы можем попробовать:
- Автоматическое восстановление при загрузке.
- Проверку файловой системы HDD или SSD на ошибки.
- Восстановление системных файлов Windows 10.
- Использовать точки восстановления.
- Попробовать перезаписать загрузчик Windows 10.
А если ни один из указанных пунктов не сработает, попробовать проверить, помогут ли решить проблему действия с оборудованием компьютера или ноутбука.
Автоматическое восстановление при загрузке
Этот способ редко оказывается работоспособным при рассматриваемой ситуации, но его следует попробовать в первую очередь, так как это не займет много времени, не требует особенных навыков и иногда всё-таки срабатывает:
- В среде восстановления перейдите в «Поиск и устранение неисправностей».
- Нажмите «Восстановление при загрузке» и выберите ОС Windows 10.
- Дождитесь завершения автоматической диагностики и исправления ошибок.
- Даже если вы увидите сообщение о том, что «Восстановление при загрузке не удалось восстановить компьютер», все равно попробуйте перезагрузить компьютер уже не с флешки, а выбрав Windows Boot Manager (при наличии) или системный диск в качестве первого устройства загрузки в БИОС/UEFI.
Проверка файловой системы системного диска HDD или SSD на ошибки
Иногда причиной ошибки 0xc0000001 являются ошибки файловой системы на диске и я не рекомендую пропускать этот шаг, хотя бы потому, что при таких ошибках следующий способ исправления ошибки также может оказаться безрезультатным:
- В среде восстановления в разделе «Поиск и устранение неисправностей» выберите «Командная строка» для запуска командной строки. Или просто нажмите клавиши Shift+F10 (иногда на ноутбуках — Shift+Fn+F10) прямо в программе установки Windows 10, чтобы запустить командную строку.
- Введите по порядку команды
- В результате выполнения второй команды вы увидите список разделов диска, проверьте букву диска, на котором расположена Windows 10 — иногда в среде восстановления она отличается от стандартной C:, в этом случае в следующей команде используйте актуальную букву раздела диска.
- Введите командудля запуска проверки файловой системы системного раздела диска на ошибки.
После проверки, если chkdsk сообщит об исправлении ошибок, попробуйте перезагрузить компьютер в обычном режиме.
Восстановление системных файлов Windows 10
Если причиной ошибки оказалось повреждение системных файлов Windows 10, например, удаление WindowsSystem32winload.efi, с помощью тех же шагов, что были описаны выше, перейдите в командную строку, после чего используйте команду (с правильной буквой системного диска):
Внимательно вводите все пробелы (например, перед offwindir) и учитывайте, что после начала сканирования системы у вас может появиться ощущение что процесс завис. Это не так — наберитесь терпения и дождитесь завершения операции.
Если в результате вы увидите сообщение о том, что программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила — пробуем загрузить компьютер или ноутбук в обычном режиме, уже не с флешки — возможно, запуск пройдёт успешно.
Дополнительные методы
В случае, когда предыдущие подходы не помогают, попробуйте:
- Использовать точки восстановления системы при их наличии. В среде восстановления — Поиск и устранение неисправностей — Восстановление системы.
- Вручную восстановить загрузчик Windows 10.
Возможные аппаратные причины ошибки 0xc0000001 при загрузке компьютера или ноутбука
Среди возможных причин проблем с загрузкой Windows 10 с кодом ошибки 0xc0000001 могут быть и аппаратные проблемы. Среди распространенных вариантов:
- Проблемы с оперативной памятью. Можно попробовать отключить любой разгон памяти (если включался), а также оставить только один модуль RAM и проверить, исчезнет ли ошибка. Если нет — попробовать поставить вместо него другой и повторить проверку.
- Проблемы со шлейфами подключения дисков.
- Проблемы с питанием, а точнее его недостатком. Учитывайте, что выходящий из строя блок питания может продолжать работать, но быть не в состоянии обеспечить необходимую мощность. При наличии возможности можно попробовать отключить необязательные потребители (например, дискретную видеокарту, оставив только интегрированное видео).
- По некоторым отзывам иногда причиной оказываются Ethernet и Wi-Fi адаптеры и срабатывает их физическое отключение или отключение в БИОС (при наличии там соответствующих опций).
Видео
Если один из способов помог вам исправить ошибку, поделитесь в комментариях, какой именно: такая статистика может быть полезной для других пользователей.
Источник
Авторизация 802.1x
Всем привет. Стоит задача реализовать авторизацию по 802.1x. Radius крутится на debian, по ldap смотрит в AD. Если всё гуд, то выдаётся ip. Но всегда прилетает
вот что в дебаге
https://yadi.sk/i/MMYEeqzfsyo6N сюда не поместилось, кинул на яндекс диск
А вот и ответ:
[mschap] Creating challenge hash with username: tftadmin
[mschap] expand: % -> 889dade9815638df
[mschap] expand: —challenge=%<%:-00> -> —challenge=889dade9815638df
[mschap] expand: % -> 7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
[mschap] expand: —nt-response=%<%:-00> -> —nt-response=7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
[mschap] External script failed.
Много раз вчитывался и пытался понять что же это. Что я сделал не так? Куда посмотреть?
В смысле? У вас вызывается внешняя программа (winbind) для проверки пароля, вызов этой программы не работает, либо выдает не тот результат, что ожидается. Почините её — у вас все заработает.
Источник
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Avendeil
- рядовой
- Сообщения: 20
- Зарегистрирован: 2011-09-19 16:30:33
FreeRADIUS+SAMBA+AD(+сisco)
Весь инет облазил. Но решения так и не нашел. Не проходит проверку юзер АДшки на циске и все тут. Делал по офф доку: http://wiki.freeradius.org/FreeRADIUS_A … tion_HOWTO
циску настраивал по этому доку http://wiki.sirmax.noname.com.ua/index.php/Cisco-vpn (у меня тож 1841).
winbindd поднят и работает.
Код: Выделить всё
testsamba# ps -ax | grep winbindd
805 ?? Ss 0:00.22 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
819 ?? I 0:00.29 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
825 ?? I 0:00.08 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
836 ?? I 0:00.01 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
858 ?? I 0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
сам радиус тоже.
Код: Выделить всё
testsamba# ps -ax | grep radi
1331 2 I+ 0:02.04 radiusd -XПри попытке авторизации пишет:
Код: Выделить всё
rad_recv: Access-Request packet from host 192.168.104.251:1645, id=27, length=168
Framed-Protocol = PPP
User-Name = "testuser@BT"
MS-CHAP-Challenge = 0x7769a9a57c9365b460a35af3124ceaab
MS-CHAP2-Response = 0x0100762c314a34473d29c9da60351bd5e1270000000000000000cb523bf67ae2af70463a071ac102ba08970950968bf77418
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-IP-Address = 91.122.53.75
Acct-Session-Id = "0000003B"
NAS-Identifier = "Router_2.bt"
Event-Timestamp = "May 29 2012 18:22:11 SAMST"
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
modcall[authorize]: module "preprocess" returns ok for request 1
modcall[authorize]: module "chap" returns noop for request 1
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 1
rlm_realm: Looking up realm "BT" for User-Name = "testuser@BT"
rlm_realm: No such realm "BT"
modcall[authorize]: module "suffix" returns noop for request 1
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 1
users: Matched entry DEFAULT at line 153
users: Matched entry DEFAULT at line 172
users: Matched entry DEFAULT at line 184
modcall[authorize]: module "files" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 1
rlm_mschap: No User-Password configured. Cannot create LM-Password.
rlm_mschap: No User-Password configured. Cannot create NT-Password.
rlm_mschap: Told to do MS-CHAPv2 for testuser@BT with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser@BT'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: 77
radius_xlat: '--challenge=a547d7e96455338c'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=cb523bf67ae2af70463a071ac102ba08970950968bf77418'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
rlm_mschap: External script failed.
rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
modcall[authenticate]: module "mschap" returns reject for request 1
modcall: leaving group MS-CHAP (returns reject) for request 1
auth: Failed to validate the user.
Delaying request 1 for 1 seconds
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 27 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 27 with timestamp 4fc4db63
Nothing to do. Sleeping until we see a request.
rad_recv: Access-Request packet from host 192.168.104.251:1645, id=28, length=165
Framed-Protocol = PPP
User-Name = "testuser"
MS-CHAP-Challenge = 0xcde8b9c404f7498880d6a52c2209f988
MS-CHAP2-Response = 0x010016c79ac0f684b01f93b854d845de85ce0000000000000000b95342632574d96fc6f08c990ef225e9b90da3a397465863
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-IP-Address = 91.122.53.75
Acct-Session-Id = "0000003C"
NAS-Identifier = "Router_2.bt"
Event-Timestamp = "May 29 2012 18:22:24 SAMST"
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 2
modcall[authorize]: module "preprocess" returns ok for request 2
modcall[authorize]: module "chap" returns noop for request 2
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 2
rlm_realm: No '@' in User-Name = "testuser", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 2
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 2
users: Matched entry DEFAULT at line 153
users: Matched entry DEFAULT at line 172
users: Matched entry DEFAULT at line 184
modcall[authorize]: module "files" returns ok for request 2
modcall: leaving group authorize (returns ok) for request 2
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 2
rlm_mschap: No User-Password configured. Cannot create LM-Password.
rlm_mschap: No User-Password configured. Cannot create NT-Password.
rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: cd
radius_xlat: '--challenge=d8e1c604e6d94989'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=b95342632574d96fc6f08c990ef225e9b90da3a397465863'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
rlm_mschap: External script failed.
rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
modcall[authenticate]: module "mschap" returns reject for request 2
modcall: leaving group MS-CHAP (returns reject) for request 2
auth: Failed to validate the user.
Delaying request 2 for 1 seconds
Finished request 2
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 28 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 2 ID 28 with timestamp 4fc4db71
Nothing to do. Sleeping until we see a request.При этом проверки аутентификации проходят:
Код: Выделить всё
testsamba# wbinfo -a testuser%12345
plaintext password authentication failed
Could not authenticate user testuser%12345 with plaintext password
challenge/response password authentication succeeded
testsamba# ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)
ЧЯДНТ? Были проблемы со стартом winbindd, но их благополучно решил. Путь до ntlm_auth указан верно (раньше на него ругался, пофиксил).
Ну и эта падла не пишет логи нормально. Приходится запускать с ключом -X чтоб все на экран сыпалось. (права на файлы верные). По ошибке Exec-Program output: Reading winbind reply failed! (0xc0000001) гугл ничего чтобы помогло решить проблему не показал.
Буду благодарен за пинок в нужном направлении.
Последний раз редактировалось f_andrey 2012-05-30 15:33:15, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
-
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Avendeil
- рядовой
- Сообщения: 20
- Зарегистрирован: 2011-09-19 16:30:33
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Avendeil » 2012-06-01 16:51:39
скромно шаркает ножкой. Бобик совсем сдох, да? Немного другой лог, гугление которого тоже не помогло 
Код: Выделить всё
rad_recv: Access-Request packet from host 192.168.104.251:1645, id=25, length=159
Framed-Protocol = PPP
User-Name = "testuser"
MS-CHAP-Challenge = 0xa263027ff22005760e7f5f1634a455d6
MS-CHAP2-Response = 0x01001cd43f994344c6618faaee45b5331a8800000000000000002322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-IP-Address = 91.122.53.75
Acct-Session-Id = "0000001D"
NAS-Identifier = "Router_2.bt"
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
radius_xlat: '/var/log/radacct//auth-detail-20120601'
rlm_detail: /var/log/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radacct//auth-detail-20120601
modcall[authorize]: module "auth_log" returns ok for request 0
modcall[authorize]: module "chap" returns noop for request 0
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 0
rlm_realm: No '' in User-Name = "testuser", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "ntdomain" returns noop for request 0
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 0
modcall: leaving group authorize (returns ok) for request 0
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
rlm_mschap: No User-Password configured. Cannot create LM-Password.
rlm_mschap: No User-Password configured. Cannot create NT-Password.
rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: '--domain='
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: a2
radius_xlat: '--challenge=08c7c075a51f3946'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
rlm_mschap: External script failed.
rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
Delaying request 0 for 1 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 25 to 192.168.104.251 port 1645
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 25 with timestamp 4fc8c837
Nothing to do. Sleeping until we see a request.
-
Dark_fisher
- мл. сержант
- Сообщения: 86
- Зарегистрирован: 2011-09-13 18:05:32
- Откуда: Файна Юкрайна
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Dark_fisher » 2012-06-01 17:37:29
Меня слегка смущают следующие строки строки.
rlm_mschap: No NT-Domain was found in the User-Name.
radius_xlat: ‘—domain=’
radius_xlat: Running registered xlat function of module mschap for string ‘User-Name’
radius_xlat: ‘—username=testuser’
radius_xlat: Running registered xlat function of module mschap for string ‘Challenge’
mschap2: a2
radius_xlat: ‘—challenge=08c7c075a51f3946’
radius_xlat: Running registered xlat function of module mschap for string ‘NT-Response’
radius_xlat: ‘—nt-response=2322b50622646ce35cf49a3cdb4ca4235b11109f037dc3a7’
Exec-Program output: Reading winbind reply failed! (0xc0000001)
И можно немного информации о том на какой основе построен домен (на основе Samba, или у вас отдельно Cisco сервер с виндовым АД), политики на доступ пользователей в домен и т.д.
из ваших логов практически ничего не понять о структуре сети.
Мы поедем, мы помчимся, на оленях утром ранним….
-
Avendeil
- рядовой
- Сообщения: 20
- Зарегистрирован: 2011-09-19 16:30:33
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Avendeil » 2012-06-01 17:47:12
домен win2008r2. Доступ стандартный, т.е. зарегистрированный пользователь может зайти на любую машину.
По выделенному, действительно занятно. Но насколько я помню это из за неверного указания домена. Никак не могу запомнить как надо указывать, domainuser , user@domain , DOMAINuser или user@DOMAIN . Сейчас проверю. И покажу этот же кусок лога.
при указании DOMAINuser
Код: Выделить всё
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
rlm_mschap: No User-Password configured. Cannot create LM-Password.
rlm_mschap: No User-Password configured. Cannot create NT-Password.
rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat: '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: 6d
radius_xlat: '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
rlm_mschap: External script failed.
rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
при указании же домена в нижнем регистре тоже самое только
учетка testuser обладает обычными юзерскими правами. Состоит в группе одного из отделов.
Последний раз редактировалось Avendeil 2012-06-01 17:48:01, всего редактировалось 1 раз.
-
Dark_fisher
- мл. сержант
- Сообщения: 86
- Зарегистрирован: 2011-09-13 18:05:32
- Откуда: Файна Юкрайна
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Dark_fisher » 2012-06-01 17:47:50
эээ.
Немного поправлюсь (устал на работе уже, читаю через строчку)
Как построен домен уже понял. Судя по логу, не находит именно суффикса домена в имени пользователя.
Если у вас NT-Domain, то попробуйте записать Юзверя как «Домен»»Логин».
по крайней мере мне в Виндовом окружении с сиськой 1841 было именно так.
И проверьте в каком виде у вас пишутся юзерлогины в самбе.
Мы поедем, мы помчимся, на оленях утром ранним….
-
Avendeil
- рядовой
- Сообщения: 20
- Зарегистрирован: 2011-09-19 16:30:33
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Avendeil » 2012-06-01 17:50:30
проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domainuser . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.
Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!
-
Dark_fisher
- мл. сержант
- Сообщения: 86
- Зарегистрирован: 2011-09-13 18:05:32
- Откуда: Файна Юкрайна
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Dark_fisher » 2012-06-01 17:52:00
Код: Выделить всё
rlm_mschap: [b]No User-Password configured[/b]. Cannot create LM-Password.
rlm_mschap:[b] No User-Password configured[/b]. Cannot create NT-Password.
rlm_mschap: Told to do MS-CHAPv2 for testuser with NT-Password
radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'
radius_xlat: '--domain=BT'
radius_xlat: Running registered xlat function of module mschap for string 'User-Name'
radius_xlat: '--username=testuser'
radius_xlat: Running registered xlat function of module mschap for string 'Challenge'
mschap2: 6d
radius_xlat: '--challenge=f2b0d12600479348'
radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'
radius_xlat: '--nt-response=7977d73f3d37df9ec5a4e9b72e8bcac58ae9119f3021adf2'
Exec-Program output: [b]Reading winbind reply failed! [/b](0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
rlm_mschap: External script failed.
rlm_mschap: FAILED: MS-CHAP2-Response is incorrect
modcall[authenticate]: module "mschap" returns reject for request 0
modcall: leaving group MS-CHAP (returns reject) for request 0
auth: Failed to validate the user.
Просматриваем пароли.
Почему не принимает с NT-Domain, NT-Password ?
Мы поедем, мы помчимся, на оленях утром ранним….
-
Dark_fisher
- мл. сержант
- Сообщения: 86
- Зарегистрирован: 2011-09-13 18:05:32
- Откуда: Файна Юкрайна
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Dark_fisher » 2012-06-01 17:54:30
Avendeil писал(а):проверка юзерлогинов в самбе показала что все гуд, засосала всех юзеров и группы (сама машина тоже в домен отлично зашла). Учетки указываются в виде domainuser . Выше лог уже показал. Создается впечатление что какая то ошибка при вызове самбы, а точней winbindd и ntlm_auth , но вот как пофиксить пока не могу подумать.
Как я писал в стартовом посте, меня гораздо больше смущает ошибка при вызове внешних скриптов. как будто их и нету вовсе. Хотя при вывозе из консоли все отлично отрабатывает!
Ну положим скрипт оно проганяет полностью.
Вот только условия в скрипте фейлятся.
В логе же написано что Скрипт Фейл.
То есть скрипт вызвался, Самба его обрабатывать начала, да вот только он сфейлился
Мы поедем, мы помчимся, на оленях утром ранним….
-
Avendeil
- рядовой
- Сообщения: 20
- Зарегистрирован: 2011-09-19 16:30:33
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Avendeil » 2012-06-01 18:06:58
окай. То ли лыжи не едут, то ли я. кхм.
Код: Выделить всё
testsamba# /usr/local/bin/ntlm_auth --request-nt-key --domain=BT --username=testuser
password:
NT_STATUS_OK: Success (0x0)
Что править? т.е. неверно указываются параметры —challenge и(или) —nt-response. Вот только скорей всего генерятся они каждый раз уникально.
то что проблема скорей всего в этом месте я решил уже 4 дня назад. Остальное время мучал гугл.
-
bossded
- проходил мимо
Re: FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
bossded » 2012-08-02 14:30:33
Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее — напишите пожалуйста.
-
letnab001
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2016-07-04 15:03:32
FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
letnab001 » 2016-07-04 15:08:55
Господа подскажите.
вот лог
Код: Выделить всё
[mschap] Creating challenge hash with username: tftadmin
[mschap] expand: %{mschap:Challenge} -> 889dade9815638df
[mschap] expand: --challenge=%{%{mschap:Challenge}:-00} -> --challenge=889dade9815638df
[mschap] expand: %{mschap:NT-Response} -> 7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
[mschap] expand: --nt-response=%{%{mschap:NT-Response}:-00} -> --nt-response=7a40f70532b99af12767a11b62a0cd3cb4a8a853e9d830ea
Exec-Program output: Reading winbind reply failed! (0xc0000001)
Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Exec-Program: returned: 1
[mschap] External script failed.что то с winbind? куда копать?
-
snorlov
- подполковник
- Сообщения: 3918
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
snorlov » 2016-07-04 15:30:44
bossded писал(а):Если кому-нибудь интересно, я нашел решение проблемы.
Причина в том, что пользователю freeradius, от которого запускается radiusd, не хватает прав на получение информации от winbind.
Если добавить этого пользователя в группу wheel (что конечно совершенно не секьюрно) все начнет работать.
Коли кто знает как сделать красивее — напишите пожалуйста.
А вы не пробовали добавить ему права на /var/db/sa,ba/winbindd_privileged…
-
Alex Keda
- стреляли…
- Сообщения: 35413
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
FreeRADIUS+SAMBA+AD(+сisco)
Непрочитанное сообщение
Alex Keda » 2016-07-05 7:36:15
Дык, он ответ вроде не разобрал….
Убей их всех! Бог потом рассортирует…
- Remove From My Forums
-
Question
-
We have a scenario, wherein the users authenticate with windows AD 2012-R2 server. The authentication requests are received by Free-radius running on Centos-5 which needs do a PEAP/MSCHAPv2 authentication with 2012-R2. We are not able to get a successfull
auth. This used to work for us on 2008 server, we haven’t changed anything on our part. The certificates, DNS records are fine, we are able to get ipads working without issues, with windows-7/8 clients we are seeing this behaviour.I am sharing the the packages
we have and the troubleshooting we have tried.
Requesting your help to get this issue resolved.Packages :
1. OS : Centos 5.10, Kernel : 2.6.18
2. Free-Radius Version : 2.2.0
3. windbindd version : 3.0.33-3.39.el5_8We have tried ntlm_auth, this shows a success result for the below tests we ran.
1. ntlm_auth —username=muser —password=xxxx —domain=manish.local
Result : Returns Success.
2. ntlm_auth —username=muser —request-nt-key
Result : Returns Success.
3. wbinfo -a muser%xxxx, After joining the domain.
Result : Returns Success.Logs:
Free-Radius Logs:=====================START==============================
rad_recv: Access-Request packet from host 10.6.5.1 port 41228, id=219, length=320
User-Name = «muser@aaaa.bbbb.org»
NAS-IP-Address = 10.6.5.1
NAS-Port = 10244
Called-Station-Id = «00-90-0B-29-6F-FB:ssid»
Calling-Station-Id = «28-E3-47-4D-7D-88»
Framed-MTU = 1250
NAS-Port-Type = Wireless-802.11
Framed-Compression = None
Connect-Info = «CONNECT Unknown radio»
Chargeable-User-Identity = «»
EAP-Message = 0x020a007b19001703010070d12bae05e8107e6ae2c431992a4ab85d9a89df8bd31ab9e15baf0812ef105f8ff44d7d76fbaf96e715d1f81ac5bea32cba2b13110362b0a7bfeb1448f3fafd98fdd81c82aa4c6681d30ba2a13c14131c4d3d4acab9bbe917ebbacf698c06b02d76ac5b77abc6e453e2388c869dac4645
State = 0x96fdd5359ef7cc13228bd8f583ea3c45
Message-Authenticator = 0xfe03ae58ef56631474cd3d231e97e063
Thu Feb 26 11:37:04 2015 : Info: # Executing section authorize from file /etc/raddb/sites-enabled/default
Thu Feb 26 11:37:04 2015 : Info: +- entering group authorize {…}
Thu Feb 26 11:37:04 2015 : Info: [suffix] Looking up realm «xxxx.yyyy.org» for User-Name = «muser@xxxx.yyyy.org»
Thu Feb 26 11:37:04 2015 : Info: [suffix] Found realm «xxxx.yyyy.org»
Thu Feb 26 11:37:04 2015 : Info: [suffix] Adding Stripped-User-Name = «muser»
Thu Feb 26 11:37:04 2015 : Info: [suffix] Adding Realm = «xxxx.yyyy.org»
Thu Feb 26 11:37:04 2015 : Info: [suffix] Authentication realm is LOCAL.
Thu Feb 26 11:37:04 2015 : Info: ++[suffix] returns ok
Thu Feb 26 11:37:04 2015 : Info: [IPASS] Request already proxied. Ignoring.
Thu Feb 26 11:37:04 2015 : Info: ++[IPASS] returns ok
Thu Feb 26 11:37:04 2015 : Info: [ntdomain] Request already proxied. Ignoring.
Thu Feb 26 11:37:04 2015 : Info: ++[ntdomain] returns ok
Thu Feb 26 11:37:04 2015 : Info: ++[chap] returns noop
Thu Feb 26 11:37:04 2015 : Info: ++[mschap] returns noop
Thu Feb 26 11:37:04 2015 : Info: [eap] EAP packet type response id 10 length 123
Thu Feb 26 11:37:04 2015 : Info: [eap] Continuing tunnel setup.
Thu Feb 26 11:37:04 2015 : Info: ++[eap] returns ok
Thu Feb 26 11:37:04 2015 : Info: Found Auth-Type = EAP
Thu Feb 26 11:37:04 2015 : Info: # Executing group from file /etc/raddb/sites-enabled/default
Thu Feb 26 11:37:04 2015 : Info: +- entering group authenticate {…}
Thu Feb 26 11:37:04 2015 : Info: [eap] Request found, released from the list
Thu Feb 26 11:37:04 2015 : Info: [eap] EAP/peap
Thu Feb 26 11:37:04 2015 : Info: [eap] processing type peap
Thu Feb 26 11:37:04 2015 : Info: [peap] processing EAP-TLS
Thu Feb 26 11:37:04 2015 : Info: [peap] eaptls_verify returned 7
Thu Feb 26 11:37:04 2015 : Info: [peap] Done initial handshake
Thu Feb 26 11:37:04 2015 : Info: [peap] eaptls_process returned 7
Thu Feb 26 11:37:04 2015 : Info: [peap] EAPTLS_OK
Thu Feb 26 11:37:04 2015 : Info: [peap] Session established. Decoding tunneled attributes.
Thu Feb 26 11:37:04 2015 : Info: [peap] Peap state phase2
Thu Feb 26 11:37:04 2015 : Info: [peap] EAP type mschapv2
Thu Feb 26 11:37:04 2015 : Info: [peap] Got tunneled request
EAP-Message = 0x020a00541a020a004f31f80a4ff6469d4d199f2e5d528d81c0d60000000000000000679858ce34d6c260f742d6b403023dabab802567a873026500616d646f40696e63656e74732e62637363686f6f6c2e6f7267
server {
Thu Feb 26 11:37:04 2015 : Info: [peap] Setting User-Name to muser@xxxx.yyyy.org
Sending tunneled request
EAP-Message = 0x020a00541a020a004f31f80a4ff6469d4d199f2e5d528d81c0d60000000000000000679858ce34d6c260f742d6b403023dabab802567a873026500616d646f40696e63656e74732e62637363686f6f6c2e6f7267
FreeRADIUS-Proxied-To = 127.0.0.1
User-Name = «muser@xxxx.yyyy.org»
State = 0x710e8f877004955f0beb6d722ee2b4b3
NAS-IP-Address = 10.6.5.1
NAS-Port = 10244
Called-Station-Id = «00-90-0B-29-6F-FB:ssid»
Calling-Station-Id = «28-E3-47-4D-7D-88»
Framed-MTU = 1250
NAS-Port-Type = Wireless-802.11
Framed-Compression = None
Connect-Info = «CONNECT Unknown radio»
Chargeable-User-Identity = «»
server inner-tunnel {
Thu Feb 26 11:37:04 2015 : Info: # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
Thu Feb 26 11:37:04 2015 : Info: +- entering group authorize {…}
Thu Feb 26 11:37:04 2015 : Info: ++[chap] returns noop
Thu Feb 26 11:37:04 2015 : Info: ++[mschap] returns noop
Thu Feb 26 11:37:04 2015 : Info: [eap] EAP packet type response id 10 length 84
Thu Feb 26 11:37:04 2015 : Info: [eap] No EAP Start, assuming it’s an on-going EAP conversation
Thu Feb 26 11:37:04 2015 : Info: ++[eap] returns updated
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] EAP packet type response id 10 length 84
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] No EAP Start, assuming it’s an on-going EAP conversation
Thu Feb 26 11:37:04 2015 : Info: ++[inner-eap] returns updated
Thu Feb 26 11:37:04 2015 : Info: Found Auth-Type = inner-eap
Thu Feb 26 11:37:04 2015 : Error: Warning: Found 2 auth-types on request for user ‘muser@xxxx.yyyy.org’
Thu Feb 26 11:37:04 2015 : Info: # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
Thu Feb 26 11:37:04 2015 : Info: +- entering group authenticate {…}
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] Request found, released from the list
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] EAP/mschapv2
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] processing type mschapv2
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] +- entering group MS-CHAP {…}
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] expand: %{User-Name} -> muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] ++[control] returns reject
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] ++? if («%{User-Name}» =~ /^(.*)@(.*)$/)
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] expand: %{User-Name} -> muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] ? Evaluating («%{User-Name}» =~ /^(.*)@(.*)$/) -> TRUE
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] ++? if («%{User-Name}» =~ /^(.*)@(.*)$/) -> TRUE
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] ++- entering if («%{User-Name}» =~ /^(.*)@(.*)$/) {…}
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] expand: %{1} -> muser
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] expand: %{2} -> xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: [mschapv2] +++[control] returns reject
Thu Feb 26 11:37:04 2015 : Info: +++[ok] returns ok
Thu Feb 26 11:37:04 2015 : Info: ++- if («%{User-Name}» =~ /^(.*)@(.*)$/) returns ok
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{User-Name}» =~ /^(.*)\\(.*)$/)
Thu Feb 26 11:37:04 2015 : Info: expand: %{User-Name} -> muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: ? Evaluating («%{User-Name}» =~ /^(.*)\\(.*)$/) -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{User-Name}» =~ /^(.*)\\(.*)$/) -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{User-Name}» =~ /^host/([^.]*)\.(.*)$/)
Thu Feb 26 11:37:04 2015 : Info: expand: %{User-Name} -> muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: ? Evaluating («%{User-Name}» =~ /^host/([^.]*)\.(.*)$/) -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{User-Name}» =~ /^host/([^.]*)\.(.*)$/) -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{control:Cleartext-Password}» != «»)
Thu Feb 26 11:37:04 2015 : Info: expand: %{control:Cleartext-Password} -> *****
Thu Feb 26 11:37:04 2015 : Info: ? Evaluating («%{control:Cleartext-Password}» != «») -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++? if («%{control:Cleartext-Password}» != «») -> FALSE
Thu Feb 26 11:37:04 2015 : Info: ++- entering else else {…}
Thu Feb 26 11:37:04 2015 : Info: [mschap] Creating challenge hash with username: muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: [mschap] Client is using MS-CHAPv2 for muser@xxxx.yyyy.org, we need NT-Password
Thu Feb 26 11:37:04 2015 : Info: [mschap] expand: —username=%{control:Idm-Stripped-User-Name} -> —username=muser
Thu Feb 26 11:37:04 2015 : Info: [mschap] Creating challenge hash with username: muser@xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Info: [mschap] expand: —challenge=%{mschap:Challenge:-00} -> —challenge=44392742240453b1
Thu Feb 26 11:37:04 2015 : Info: [mschap] expand: —nt-response=%{mschap:NT-Response:-00} -> —nt-response=679858ce34d6c260f742d6b403023dabab802567a8730265
Thu Feb 26 11:37:04 2015 : Info: [mschap] expand: —domain=%{control:Idm-Domain} -> —domain=xxxx.yyyy.org
Thu Feb 26 11:37:04 2015 : Debug: Exec-Program output: Reading winbind reply failed! (0xc0000001)
Thu Feb 26 11:37:04 2015 : Debug: Exec-Program-Wait: plaintext: Reading winbind reply failed! (0xc0000001)
Thu Feb 26 11:37:04 2015 : Debug: Exec-Program: returned: 1
Thu Feb 26 11:37:04 2015 : Info: [mschap] External script failed.
Thu Feb 26 11:37:04 2015 : Info: [mschap] FAILED: MS-CHAP2-Response is incorrect
Thu Feb 26 11:37:04 2015 : Info: +++[mschap] returns reject
Thu Feb 26 11:37:04 2015 : Info: ++- else else returns reject
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] Freeing handler
Thu Feb 26 11:37:04 2015 : Info: ++[inner-eap] returns reject
Thu Feb 26 11:37:04 2015 : Info: Failed to authenticate the user.
} # server inner-tunnel
Thu Feb 26 11:37:04 2015 : Info: [peap] Got tunneled reply code 3
Cleartext-Password = *****
MS-CHAP-Error = «nE=691 R=1»
EAP-Message = 0x040a0004
Message-Authenticator = 0x00000000000000000000000000000000
Thu Feb 26 11:37:04 2015 : Info: [peap] Got tunneled reply RADIUS code 3
Cleartext-Password = *****
MS-CHAP-Error = «nE=691 R=1»
EAP-Message = 0x040a0004
Message-Authenticator = 0x00000000000000000000000000000000
Thu Feb 26 11:37:04 2015 : Info: [peap] Tunneled authentication was rejected.
Thu Feb 26 11:37:04 2015 : Info: [peap] FAILURE
Thu Feb 26 11:37:04 2015 : Info: ++[eap] returns handled
Sending Access-Challenge of id 219 to 10.6.5.1 port 41228
EAP-Message = 0x010b002b19001703010020aa91a93927e10cdba890a40c42b628ed43f4031cc4e4e9aa127893a8b0ee5903
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x96fdd5359ff6cc13228bd8f583ea3c45======================END===============================
-
Edited by
Friday, March 27, 2015 12:41 PM
-
Edited by
Answers
-
Hi,
From the log,
Thu Feb 26 11:37:04 2015 : Info: [inner-eap] No EAP Start, assuming it’s an on-going EAP conversation
Thu Feb 26 11:37:04 2015 : Info: ++[inner-eap] returns updated
Thu Feb 26 11:37:04 2015 : Info: Found Auth-Type = inner-eap
Thu Feb 26 11:37:04 2015 : Error: Warning: Found 2 auth-types on request for user
‘muser@xxxx.yyyy.org’
Thu Feb 26 11:37:04 2015 : Info: # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
Thu Feb 26 11:37:04 2015 : Info: +- entering group authenticate {…}We found this error before the mschapv2 error appears. It seems the configuration is not correct on freeradius. Please check the configruaiton and try to emlminate the error first.
More information
==================
Found2 Auth-Type on request
http://freeradius.1045715.n5.nabble.com/Found2-Auth-Type-on-request-td2788873.htmlRegards.
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com
-
Proposed as answer by
Vivian_Wang
Monday, April 13, 2015 12:48 AM -
Marked as answer by
Vivian_Wang
Tuesday, April 14, 2015 9:07 AM
-
Proposed as answer by