Radius - Access-Reject

[SpiritSantos 0]

Здравствуйте ! Помогите разобраться с радиусом.

Установка системы по ---

http://wiki.ubilling.net.ua/doku.php?id=setupubinstaller

Радиуса по ---

http://wiki.ubilling.net.ua/doku.php?id=freeradius

------------------------------------------------------------------------------

И если вы увидели нечто похожее на код ниже - можно продолжать дальше…

------------------------------------------------------------------------------

Идем дальше

 

radtest логин пароль 127.0.0.1 0 секрет

 

Sending Access-Request of id 198 to 127.0.0.1 port 1812

        User-Name = "Логин"

        User-Password = "пароль"

        NAS-IP-Address = 127.0.0.1

        NAS-Port = 0

        Message-Authenticator = 0x00000000000000000000000000000000

rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=198, length=20

 

 

 

Что почитать ? FAQ 

 

[SpiritSantos 0]

Все проблема била в атрибутах сети, надо искать инфу ...

[Dep 0]

Привіт, була аналогічна проблема.
Атрибути повинні бути виставлені приблизно так як тут :
 
http://wiki.ubilling.net.ua/lib/exe/fetch.php?cache=&media=accelpppradattrbase2_060.png

Взято з статті тут: accel-ppp на Ubuntu Server pptp & pppoe

 

Мені допомогло.

[faktorx 0]

Чтобы не создавать тему .Аналогичная проблема при проверке тестового пользователя

radtest popov15ap0 589q4ge8 127.0.0.1 0 dec0071981b1

 

(3) Received Access-Request Id 126 from 127.0.0.1:10136 to 127.0.0.1:1812 length 80
(3)   User-Name = "popov15ap0"
(3)   User-Password = "589q4ge8"
(3)   NAS-IP-Address = 127.0.0.1
(3)   NAS-Port = 0
(3)   Message-Authenticator = 0xcc4d1eb297970623ebe0a6e7d66c266a
(3) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(3)   authorize {
(3)     [preprocess] = ok
(3)     [chap] = noop
(3)     [mschap] = noop
(3)     [digest] = noop
(3) eap: No EAP-Message, not doing EAP
(3)     [eap] = noop
(3) sql: EXPAND %{User-Name}
(3) sql:    --> popov15ap0
(3) sql: SQL-User-Name set to 'popov15ap0'
rlm_sql (sql): Closing connection (8): Hit idle_timeout, was idle for 337 seconds
rlm_sql (sql): You probably need to lower "min"
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing connection (9): Hit idle_timeout, was idle for 337 seconds
rlm_sql (sql): You probably need to lower "min"
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): 0 of 0 connections in use.  You  may need to increase "spare"
rlm_sql (sql): Opening additional connection (10), 1 of 32 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.42, protocol version 10
rlm_sql (sql): Reserved connection (10)
(3) sql: EXPAND SELECT id, username, attribute, value, op FROM mlg_check WHERE username = '%{SQL-User-Name}' ORDER BY id
(3) sql:    --> SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'popov15ap0' ORDER BY id
(3) sql: Executing select query: SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'popov15ap0' ORDER BY id
(3) sql: EXPAND SELECT username FROM mlg_groupreply WHERE username = '%{SQL-User-Name}'
(3) sql:    --> SELECT username FROM mlg_groupreply WHERE username = 'popov15ap0'
(3) sql: Executing select query: SELECT username FROM mlg_groupreply WHERE username = 'popov15ap0'
(3) sql: User not found in any groups
rlm_sql (sql): Released connection (10)
Need 2 more connections to reach min connections (3)
rlm_sql (sql): Opening additional connection (11), 1 of 31 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.42, protocol version 10
(3)     [sql] = notfound
(3)     [files] = noop
(3)     [expiration] = noop
(3)     [logintime] = noop
(3) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type
(3) pap: WARNING: Authentication will fail unless a "known good" password is available
(3)     [pap] = noop
(3)   } # authorize = ok
(3) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(3) Failed to authenticate the user
(3) Using Post-Auth-Type Reject
(3) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(3)   Post-Auth-Type REJECT {
(3) attr_filter.access_reject: EXPAND %{User-Name}
(3) attr_filter.access_reject:    --> popov15ap0
(3) attr_filter.access_reject: Matched entry DEFAULT at line 11
(3)     [attr_filter.access_reject] = updated
(3)   } # Post-Auth-Type REJECT = updated
(3) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [popov15ap0] (from client mtik port 0)
(3) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(3) Sending delayed response
(3) Sent Access-Reject Id 126 from 127.0.0.1:1812 to 127.0.0.1:10136 length 20
Waking up in 3.9 seconds.

 

[l1ght 377]

аттрибутов нет, юзер не существует в радиусе

потому что доку кто-то читает строка через 5

[faktorx 0]

Атрибуты не так были прописаны. Разобрался.

Но с микротик не проходит авторизацию. На пароль жалуется 

 chap: ERROR: Password comparison failed: password is incorrect

В атрибутах вказывать такой же как поставлен на микротике?

Відредаговано 2019-11-02 19:53:12 faktorx

[l1ght 377]

1 час назад, faktorx сказал:

Атрибуты не так были прописаны. Разобрался.

Но с микротик не проходит авторизацию. На пароль жалуется 

 chap: ERROR: Password comparison failed: password is incorrect

В атрибутах вказывать такой же как поставлен на микротике?

это что вы делаете? хотспот, дхцп сервер, ppp? 

оно ж говорит что пароль не совпадает

[faktorx 0]

Хотспот и ДХЦП на микротике будет

ubilling через radius будет управлять микротиками

Вы меня извините, может я нубские вопросы и задаю, но с радиусом никогда не работал. 
 

[l1ght 377]

4 часа назад, faktorx сказал:

Хотспот и ДХЦП на микротике будет

ubilling через radius будет управлять микротиками

Вы меня извините, может я нубские вопросы и задаю, но с радиусом никогда не работал. 
 

для хотспота надо выбрать либо мак как пароль либо указать статичный пароль

в соответствии с этим добавить аттрибуты и их значение

[faktorx 0]

Каким то чудом угадал пароль для авторизации, это 12345. При том что в атрибутах он не фигурировал. Откуда он взялся в биллинге?
В атрибутах стоял User-Password := 1111

Это уже я удалил их

Відредаговано 2019-11-03 14:03:39 faktorx

[l1ght 377]

3 часа назад, faktorx сказал:

В атрибутах стоял User-Password := 1111

а надо было Cleartext-Password := 12345

но у вас на скрине выше 4 значный пароль, господи вы не знаете что вы вводите? включите на винбоксе отображение паролей, хватит играть в рулетку

Відредаговано 2019-11-03 17:56:33 l1ght

[faktorx 0]

13 часов назад, l1ght сказал:

но у вас на скрине выше 4 значный пароль

На скрине то я потом уже поменял и заскринил. На микротике ставлял 1111 и в атрибутах Cleartext-Password := 1111, говорит неверный пароль. Когда в микротике ставляю 12345, а атрибуты вообще удалил, то пароль подходит. Если что билининг и радиус после всех действий перезагружаю
Вопрос в том что где то 12345 прописано в конфиге, но немогу найти где.

На скрине видно что атрибута Cleartext-Password даже нету. А оно принимает пароль - 12345

Відредаговано 2019-11-04 07:22:04 faktorx

[l1ght 377]

2 часа назад, faktorx сказал:

Вопрос в том что где то 12345 прописано в конфиге

нигде не прописано

[faktorx 0]

В конфигурации если нету атрибута Cleartext-Password, то по логике должно не воспринимать никаких паролей?

А система воспринимает и только 12345.
Заплутался я...

Я уже и НАС пересоздал

[l1ght 377]

8 часов назад, faktorx сказал:

А система воспринимает и только 12345.

какая именно система?

 

8 часов назад, faktorx сказал:

В конфигурации если нету атрибута Cleartext-Password, то по логике должно не воспринимать никаких паролей?

покажите уже список аттрибутов что вы там наделали

оно там ждет либо User-Password либо Cleartext-Password или ещё связку этих вещей. отключить проверку пароля можно добавив в check Auth-Type := Accept

[faktorx 0]

Кажись разобрался. Прописал атрибут Cleartext-Password := пароль. Далее Кнопку очистить все атрибуты во все сценариях, и регенерация базы. И теперь принимает те пароли которые ставлю. 

[l1ght 377]

4 часа назад, faktorx сказал:

Прописал атрибут Cleartext-Password

аттрибуты из радиус табличек не удаляются при удалении аттрибута из пресета в справочнике насов

так что да, очистка + генерация если много чего удаляется\добавляется\меняется именно в пресетах

ну и с ручной генерацией надо быть аккуратным что б не попасть по времени с генерацией из крона, там не предусмотрено никаких локов базы или чего угодно во избежание проблем