abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:22 | Komunita

Na dnes, poslední středu v březnu, připadá Document Freedom Day (DFD, Wikipedie), jenž má upozornit na výhody otevřených standardů a formátů dokumentů. Organizátoři se rozhodli, že letos proběhne Document Freedom Day dvakrát. Druhý letošní Document Freedom Day proběhne 26. dubna.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Nová verze

Byla vydána nová stabilní verze 1.8 (1.8.770.50) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují vylepšenou historii prohlížení. Ukázka na YouTube. Chromium bylo aktualizováno na verzi 57.0.2987.111.

Ladislav Hagara | Komentářů: 0
včera 05:55 | Zajímavý projekt

Google na svém blogu věnovaném open source představil portál Google Open Source informující mimo jiné o více než 2000 open source projektech vyvíjených nebo používaných v Googlu.

Ladislav Hagara | Komentářů: 0
včera 03:33 | IT novinky

Pro společnost Red Hat skončil 28. února fiskální rok 2017. Dle finančních výsledků bylo čtvrté čtvrtletí, stejně jako celý fiskální rok 2017, opět úspěšné. Tržby jsou zvyšovány již 60 čtvrtletí v řadě. Za čtvrté čtvrtletí 2017 to bylo 629 milionů dolarů, tj. meziroční nárůst 16 %. Tržby za celý fiskální rok činily 2,4 miliardy dolarů, tj. meziroční nárůst 18 %.

Ladislav Hagara | Komentářů: 2
28.3. 18:22 | Bezpečnostní upozornění

V balíčku eject, příkaz pro vysunutí CD/DVD z mechaniky, v linuxových distribucích Ubuntu (USN-3246-1) a Debian (#858872) byla nalezena bezpečnostní chyba CVE-2017-6964 zneužitelná k lokální eskalaci práv. Linuxové distribuce používající eject z balíčku util-linux nejsou zranitelné.

Ladislav Hagara | Komentářů: 14
28.3. 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 55
28.3. 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 12
27.3. 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
27.3. 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
27.3. 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 17
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 964 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: OpenLDAP - FreeRADIUS - WIFI

    29.9.2010 13:09 Michal Krátký
    OpenLDAP - FreeRADIUS - WIFI
    Přečteno: 1006×
    Dobrý den, potřeboval bych si ujasnit některé věci. Mám na svém serveru (ubuntu) rozjetý OpenLDAP, na něj mám pověšený FreeRADIUS server. Chci ještě připojit WIFI a ověřovat pomocí toho Radius serveru. Z příkazové řádky serveru mi Radius ověřuje proti LDAP serveru. Díval jsem se do nastavení wifi a tam je IP adresa Radius serveru a jméno a heslo. Zajímá mě jaké jméno a heslo tam zadat? Jak potom připojit klienta k tomuto AP? Kde budu zadávat ověřování? Děkuji za vysvětlení problematiky.

    Odpovědi

    29.9.2010 15:34 NN
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Jedva vec je "registrovat" zarizeni(AP) na radius serveru (clients.conf) a druha je nakonfigurovat overovani klienta pres radius.(EAP-TLS, WPA)..

    http://wiki.freeradius.org/HOWTO

    NN
    29.9.2010 20:15 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Jednoduchou konfiguraci na pochopeni najdes tady na mych strankach , LDAP uz pak musis rozjet podle manualu.
    30.9.2010 15:31 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Příloha:
    Děkuji. Mohl bych se zeptat, není mi jasná jedna věc, co konkrétně má zůstat v eap.conf Je tam toho hodně a když něco pomažu tak mi radius nejde pustit :) Takto vypadá muj eap.conf ( v příloze :) )
    30.9.2010 21:14 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    No ja bych z nej asi zakomentoval nebo odmazal ty casti, ktere te nezajimaji (pozor na spravnou syntaxi, hlavne ty slozene zavorky) a uprav si podle sebe jen tu cast, ktera te zajima napr. eap-tls. Pripadne si pust raidus v konzoli misto demona, a tam primo muzes videt proc nenacte konfiguraci, kde spadne overovani a podobne. Nebo sem aspon priloz vypis z logu toho radiusu, jinak tezko rict proc ti to tvuj upraveny eap.conf nesezralo.
    1.10.2010 07:46 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Mě není právě moc jasné co z toho můžu vyhodit a co tam musím nechat. Potřeboval bych to nakonfigurovat tak aby se mi na to bez problému připojil manželčin počítač. A ten má WIN7. Ty vyhodí okno se zadáním jména a hesla. Zadám ale wokna se nepřihlásí. V logu je potom toto:
    Wed Sep 29 19:17:04 2010 : Info: Loaded virtual server inner-tunnel
    Wed Sep 29 19:17:04 2010 : Info: Loaded virtual server 
    Wed Sep 29 19:17:04 2010 : Info: Ready to process requests.
    Wed Sep 29 19:17:30 2010 : Error: TLS Alert read:fatal:unknown CA 
    Wed Sep 29 19:17:30 2010 : Error:     TLS_accept:failed in SSLv3 read client certificate A 
    Wed Sep 29 19:17:30 2010 : Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
    
    1.10.2010 07:48 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Jen dolním že vše je nastaveno dle vašeho návodu. Jen eap.conf ne. S tím si tak trošku nevím rady co mohu smazat a co ponechat. eap.con viz výše v příloze, je default, takový jaký je po instalaci freeradiusu. Děkuji moc za pomoc.
    1.10.2010 11:36 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    No tak evidentne TLS spadlo kvuli certifikátům. Máte ty certifikáty správně nastaveny cesty, mají správná práva, platnost a podobně?? Chcete opravdu používat eap-tls muj navod je pro eap-md5, ktery widle neumi(stejne je eap-md5 nepouzitelny, nebot ma velmi slabe zabezpeceni, ja jej pouzil jen k ukazce ze to funguje). :)
    1.10.2010 11:53 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    No nastavoval jsem vše dle vašeho návodu, takže nevím proč to ověřuje pomocí TLS. To bude asi chyba někde v eap.confu. Chyba bude zjevně v tom že je default a vůbec jsme jej neměnil, protože nevím co smazat a co tam ponechat. Mohl by jste mi poradit co z něj smazat a nebo upravit tak aby se mi tam to TLS neplantalo? Žádné certifikáty jsem negeneroval. Nepotřebuji nijak silnou bezpečnost, chtěl jsem se to jen ukázkově rozběhat. Navíc pokud to dobře chápu tak pokud bych používal TLS tak musím vygenerovat certifikáty a ty potom budu muset doručit na ten windows aby mě to pomocí něho ověřilo, je to tak? Já bych chtěl udělat jen to aby se mi na základě toho jména a hesla připojil počítač.
    1.10.2010 12:11 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    pomoci tls to overuje proto ze jste si nastavil windows tak ze se pomoci tls overovat chteji :) Zkuste treba nejake live cd treba slax a pripojit se tim supplicantem :)
    1.10.2010 12:14 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Dobře děkuji. Takže v tom eap.conf nemusím nic měnit?
    1.10.2010 12:19 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    pokud vas staci to md5, tak nic menit nemusite. ono tam ani nic naastavit nejde viz.
    		#  We do NOT recommend using EAP-MD5 authentication
    		#  for wireless connections.  It is insecure, and does
    		#  not provide for dynamic WEP keys.
    		#
    		md5 {
    		}
    
    zadne volby to proste nema :) Jinak muzete nastavit i jine autentizacni mechanismy jako treba ten tls, leap, peap, mschapv (coz by mohli byt vas favorit pro pripojeni z windows, kdyz to MS vymyslel :)
    1.10.2010 12:14 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    jinak znova koukam na vas konfigurak a vidim default_eap_type = md5 tedy TLS si pravdepodobne vyzadaji primo vidle.
    1.10.2010 13:31 ET
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Zdar, problematiku neznam, jen mi ta chyba pripada ze nemas nekde nastavenu duveru certifikatu CA (CA cert, pokud mu duverujes, pak overuje ze klientsky a jiny certy jsou podepsany CA certem)

    1.10.2010 13:33 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Takže pro to mám udělat co? Jak podepsat certifikát?
    1.10.2010 14:36 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Nejprve si ujasnete ktery z tech mechanismu chcete pouzivat. Pokud nechcete tls tak vas zadny certifikat nemusi zajimat.
    1.10.2010 15:37 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Tak chci použít něco jednoduchého, a taky aby to fungovalo jak na windows tak i na linux. Tak m i prosím poraďte jaké zabezpečení použít. A popřípadě jako ho v tom eap.conf nakonfigurovat. Děkuji moc.
    1.10.2010 16:24 FF
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Muzete zkusit ten treba leap, peap, mschap. Alespon moje widle 7 x64 na notasu to umi.
    8.10.2010 19:45 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    No, nie tak celkom, ta chyba:
    Wed Sep 29 19:17:30 2010 : Error: TLS Alert read:fatal:unknown CA 
    Wed Sep 29 19:17:30 2010 : Error:     TLS_accept:failed in SSLv3 read client certificate A 
    Wed Sep 29 19:17:30 2010 : Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
    znamena, ze pre klienta je certifikacna autorita servera neznama, teda pri pouziti EAP-PEAP resp EAP-TTLS je potrebne nainstalovat na klientsky system CA certifikat, ktorou sa podpisoval certifikat radius serveru. Inak sa nevytvori TLS tunel cez ktory prebieha pri PEAPe autentifikacia pouzivatela.
    1.10.2010 14:19 ET
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    mno ja bych to videl spis na nejakou direktivku pro CA cert (pokud teda chces pouzivat tls/ssl) - napr pro apache se do konfiguraku dava direktiva SSLCACertificateFile a na klientech musis mit cacert v duveryhodnejch kor. autoritach (pro korektni fungovani)

    !!! ja tuto problematiku neznam, ani sem to nezkousel !!! jen mi pripada ze bud server nebo klient neuznava/neduveruje certifikacni autorite (CA) - pokud teda nejakou pouzivas

    * pokud nepouzivas certifikaty, pak se koukni do konfiguraku jak ssl/tls vypnout
    1.10.2010 15:45 NN
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Skus WPA-PSK je daleko jednoduzsi a nemusis generovat a instalovat certifikaty..

    http://wiki.freeradius.org/WPA_HOWTO

    NN
    1.10.2010 16:56 ET
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    pokud si dobre pamatuju, tak zatim neprolomena je WPA2 [mozna me nekdo znalejsi opravi]

    IMHO: v praxi neni zas uplne nejlepci to zabezpecovat nejakou pekelnou technologii, protoze to neumej nektery stary zarizeni - treba mobili a tak - to uz je ke zvazeni
    8.10.2010 12:31 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Takže situace se má teĎ takto, dle návodů jsem to rozjel, teď bych rád do toho zapojil i LDAP server, tak aby se proti němu ověřovali uživatele. S příkazového řádku zadám:
    radtest test heslo 192.168.1.1 1812 test
    a uživatel se mi korektně ověří. V logu je toto:
    ++[expiration] returns noop
    ++[logintime] returns noop
    [pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
    ++[pap] returns noop
    Found Auth-Type = LDAP
    +- entering group LDAP {...}
    [ldap] login attempt by "test" with password "heslo"
    [ldap]     expand: %{Stripped-User-Name} -> 
    [ldap]     ... expanding second conditional
    [ldap]     expand: %{User-Name} -> test
    [ldap]     expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=test)
    atd...
    
    Ale když potom nakonfiguruji windows tak abych se mohl pomocí wifi přihlásit, mám v logu toto:
    ++[eap] returns updated
    ++[unix] returns notfound
    [files] users: Matched entry DEFAULT at line 208
    ++[files] returns ok
    ++[expiration] returns noop
    ++[logintime] returns noop
    [pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
    ++[pap] returns noop
    Found Auth-Type = LDAP
    +- entering group LDAP {...}
      [ldap] Attribute "User-Password" is required for authentication.
      You seem to have set "Auth-Type := LDAP" somewhere.
      THAT CONFIGURATION IS WRONG.  DELETE IT.
      YOU ARE PREVENTING THE SERVER FROM WORKING PROPERLY.
    ++[ldap] returns invalid
    Failed to authenticate the user.
    Using Post-Auth-Type Reject
    +- entering group REJECT {...}
    [attr_filter.access_reject]     expand: %{User-Name} -> 
    ++[attr_filter.access_reject] returns noop
    Delaying reject of request 2 for 1 seconds
    Going to the next request
    Waking up in 0.9 seconds.
    Sending delayed reject for request 2
    Sending Access-Reject of id 0 to 192.168.1.1 port 1060
    Waking up in 4.9 seconds.
    Cleaning up request 2 ID 0 with timestamp +28
    Ready to process requests.
    
    V users mám toto:
    DEFAULT Auth-Type := LDAP
          Fall-Through = 1
    
    Pokud do users zadám ještě:
    test Cleartext-Password := "test123"
    a to do windows tak se přihlásím. Mohl by mi prosím někdo pomoci co dělám špatně?

    8.10.2010 13:01 ET
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    bubak bude asi tohle

    *******************

    You seem to have set "Auth-Type := LDAP" somewhere.

    THAT CONFIGURATION IS WRONG. DELETE IT.

    YOU ARE PREVENTING THE SERVER FROM WORKING PROPERLY.

    *********************

    BTW: jak si opravil ty certfikaty, resp co bylo spatne ? :)
    8.10.2010 13:07 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    to mi došlo že to bude to co jsi zdůraznil, ale prohledal jsem goolge a našel jsem že by mělo pomoci toto:
    DEFAULT FreeRADIUS-Proxied-To == 127.0.0.1
             User-Name := `%{User-Name}`,
             Fall-Through = Yes
    
    Ale to je to samé v bledě modrém, a teď se to dokonce ani necpe na ten LDAP server :( nemá někdo nějakou radu jak to zprovoznit?
    8.10.2010 14:59 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Ono to dle té chyby vypadá jako by windows neodesílal heslo pro uživatele. Proto tam ani v LDAP dál nepokračuje.
    8.10.2010 15:08 Michal Krátký
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Moc prosím, nemohl by mi někdo pomoci, z této situace? Děkuji moc.
    8.10.2010 15:43 NN
    Rozbalit Rozbalit vše Re: OpenLDAP - FreeRADIUS - WIFI
    Mozna to pomuze:

    http://vuksan.com/linux/dot1x/802-1x-LDAP.html

    :R

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.