Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Freeradius - jak wylączyć/zablokować autoryzację PAP.
#1 2015-03-23 13:58:39
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Freeradius - jak wylączyć/zablokować autoryzację PAP.
Cześć
Jak w temacie, chciałbym w radiusie wyłączyć całkowicie autoryzację typu pap (najlepiej na pojedynczym Virtualhoście, ewentualnie na wszystkich Vhostach), zostawiając tylko chap, mschap i eap.
Chodzi o to, żeby hasła cleartext nie fruwały po sieci.
Gdzie i jak to ustawić, w jakim pliku konfiguracyjnym?
Ostatnio edytowany przez Jacekalex (2015-03-23 14:34:19)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#2 2015-03-23 17:40:24
morfik - Cenzor wirtualnego świata
Re: Freeradius - jak wylączyć/zablokować autoryzację PAP.
PAP jest używany głównie w drugiej fazie połączenia, gdzie masz już zestawiony tunel tls, zatem po co chcesz to wyłączać? Hasła i tak nie polecą otwartym textem, bo szyfrowane są wewnątrz kanału.
Offline
#3 2015-03-23 17:50:39
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Freeradius - jak wylączyć/zablokować autoryzację PAP.
Potrzebuję wyłączyć PAP dla połączeń bez tlsa,
Na razie znalazłem sposób, jak pozwolić tylko na eap, ale chcę zostawić mschapv2 i chap.
Zablokowanie innych form logowania niż EAP sprowadza się do takiego kawałka w policy.conf:
Kod:
permit_only_eap {
if (!EAP-Message) {
# We MAY be inside of a TTLS tunnel.
# PEAP and EAP-FAST require EAP inside of
# the tunnel, so this check is OK.
# If so, then there MUST be an outer EAP message.
if (!"%{outer.request:EAP-Message}") {
reject
}
}
}i dodania w Vhosie opcji:
authorize {
preprocess
permit_only_eap
chap
mschap
digest
sql
...
Tylko potrzebuję to jakoś przerobić, żeby pozwalało na chap, mscaphv2 i eap.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-03-23 17:50:58)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2015-03-23 18:04:19
morfik - Cenzor wirtualnego świata
Re: Freeradius - jak wylączyć/zablokować autoryzację PAP.
A tam w pliku freeradius/sites-available/default nie możesz sobie ustawić odpowiednich opcji? Poza tym, freeradius bez peap,tls albo ttls to jest raczej katastrofa. Przecie te wszystkie pozostałe protokoły zostały połamane już dawno i nadają się jedynie do stosowania wewnątrz tunelu tls bo niczym się nie różnią od przesyłania zwykłego textu przez sieć. xD
Offline
#5 2015-03-23 18:16:24
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Freeradius - jak wylączyć/zablokować autoryzację PAP.
Właśnie nic sensownego nie udało się osiągnąć, próbowałem tego:
Kod:
authenticate {
...
Auth-Type PAP {
reject
}
...
}I albo nie działa, albo się wywala z powodu składni konfigu,
pochodzi z tego sznurka:
http://lists.freeradius.org/pipermail/freeradius-us … y/066764.html
Wyczaiłem tylko, że w tej i nowszych wersjach radiusa:
Kod:
net-dialup/freeradius-2.2.5 mysql odbc pam pcap readline ssl
takie rzeczy się robi przez policy.conf, tylko nie wiem, jakie zmienne określają próbę autoryzacji PAP, CHAP i MSCHAP..
Ostatnio edytowany przez Jacekalex (2015-03-23 18:20:22)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Freeradius - jak wylączyć/zablokować autoryzację PAP.