<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hello, I’m a new user to Linux and Freeradius.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m trying to set up Freeradius to authenticate against the local Linux user accounts.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m having issues getting the “radtest” tool to authenticate against local users in the unix system.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m using CentOS 6.3 - 64bit <o:p></o:p></p><p class=MsoNormal> (uname – a output Linux Joe2dot0-freeradius 2.6.32-279.el6.x86_64 #1 SMP Fri Jun 22 12:19:21 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux)<o:p></o:p></p><p class=MsoNormal> (Contents of the “etc/redhat-release” file CentOS release 6.3 (Final))<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I used YUM to install Freeradius2 (2.1.12-4.el6_3)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here’s the output of the “yum list installed” command<o:p></o:p></p><p class=MsoNormal style='text-indent:.5in'>freeradius.x86_64 2.1.12-4.el6_3 @updates<o:p></o:p></p><p class=MsoNormal style='text-indent:.5in'>freeradius-utils.x86_64 2.1.12-4.el6_3 @updates<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I installed the packages as ‘root’<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m running ‘radtest’ while logged in a root.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The users file is configured as follows:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal style='text-indent:.5in'>joe2 Auth-Type := System (I’ve tried this with both := and =)<o:p></o:p></p><p class=MsoNormal style='text-indent:.5in'>bob Cleartext-Password := "hello"<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>When I run “radtest bob hello localhost 0 testing1234” *********Successful*********** (I don’t use quotes when I input to linux)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here is the debug output from the radiusd –X<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>rad_recv: Access-Request packet from host 127.0.0.1 port 54241, id=124, length=73<o:p></o:p></p><p class=MsoNormal> User-Name = "bob"<o:p></o:p></p><p class=MsoNormal> User-Password = "hello"<o:p></o:p></p><p class=MsoNormal> NAS-IP-Address = 127.0.0.1<o:p></o:p></p><p class=MsoNormal> NAS-Port = 0<o:p></o:p></p><p class=MsoNormal> Message-Authenticator = 0x0333c5040a7f6b1a6051a1543e5bf4ea<o:p></o:p></p><p class=MsoNormal># Executing section authorize from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group authorize {...}<o:p></o:p></p><p class=MsoNormal>++[preprocess] returns ok<o:p></o:p></p><p class=MsoNormal>++[chap] returns noop<o:p></o:p></p><p class=MsoNormal>++[mschap] returns noop<o:p></o:p></p><p class=MsoNormal>++[digest] returns noop<o:p></o:p></p><p class=MsoNormal>[suffix] No '@' in User-Name = "bob", looking up realm NULL<o:p></o:p></p><p class=MsoNormal>[suffix] No such realm "NULL"<o:p></o:p></p><p class=MsoNormal>++[suffix] returns noop<o:p></o:p></p><p class=MsoNormal>[eap] No EAP-Message, not doing EAP<o:p></o:p></p><p class=MsoNormal>++[eap] returns noop<o:p></o:p></p><p class=MsoNormal>++[unix] returns notfound<o:p></o:p></p><p class=MsoNormal>[files] users: Matched entry bob at line 8<o:p></o:p></p><p class=MsoNormal>++[files] returns ok<o:p></o:p></p><p class=MsoNormal>++[expiration] returns noop<o:p></o:p></p><p class=MsoNormal>++[logintime] returns noop<o:p></o:p></p><p class=MsoNormal>++[pap] returns updated<o:p></o:p></p><p class=MsoNormal>Found Auth-Type = PAP<o:p></o:p></p><p class=MsoNormal># Executing group from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group PAP {...}<o:p></o:p></p><p class=MsoNormal>[pap] login attempt with password "hello"<o:p></o:p></p><p class=MsoNormal>[pap] Using clear text password "hello"<o:p></o:p></p><p class=MsoNormal>[pap] User authenticated successfully<o:p></o:p></p><p class=MsoNormal>++[pap] returns ok<o:p></o:p></p><p class=MsoNormal># Executing section post-auth from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group post-auth {...}<o:p></o:p></p><p class=MsoNormal>++[exec] returns noop<o:p></o:p></p><p class=MsoNormal>Sending Access-Accept of id 124 to 127.0.0.1 port 54241<o:p></o:p></p><p class=MsoNormal>Finished request 1.<o:p></o:p></p><p class=MsoNormal>Going to the next request<o:p></o:p></p><p class=MsoNormal>Waking up in 4.9 seconds.<o:p></o:p></p><p class=MsoNormal>Cleaning up request 1 ID 124 with timestamp +78<o:p></o:p></p><p class=MsoNormal>Ready to process requests.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>When I run “radtest joe2 secret localhost 0 testing1234” (I don’t use quotes when I input to linux) *************Access-Reject from the server********************<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here is the debug output from the radiusd –X<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>rad_recv: Access-Request packet from host 127.0.0.1 port 40697, id=134, length=74<o:p></o:p></p><p class=MsoNormal> User-Name = "joe2"<o:p></o:p></p><p class=MsoNormal> User-Password = "secret"<o:p></o:p></p><p class=MsoNormal> NAS-IP-Address = 127.0.0.1<o:p></o:p></p><p class=MsoNormal> NAS-Port = 0<o:p></o:p></p><p class=MsoNormal> Message-Authenticator = 0xcf3011a6da2e12ec1e1a66746be3c6ad<o:p></o:p></p><p class=MsoNormal># Executing section authorize from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group authorize {...}<o:p></o:p></p><p class=MsoNormal>++[preprocess] returns ok<o:p></o:p></p><p class=MsoNormal>++[chap] returns noop<o:p></o:p></p><p class=MsoNormal>++[mschap] returns noop<o:p></o:p></p><p class=MsoNormal>++[digest] returns noop<o:p></o:p></p><p class=MsoNormal>[suffix] No '@' in User-Name = "joe2", looking up realm NULL<o:p></o:p></p><p class=MsoNormal>[suffix] No such realm "NULL"<o:p></o:p></p><p class=MsoNormal>++[suffix] returns noop<o:p></o:p></p><p class=MsoNormal>[eap] No EAP-Message, not doing EAP<o:p></o:p></p><p class=MsoNormal>++[eap] returns noop<o:p></o:p></p><p class=MsoNormal>++[unix] returns notfound<o:p></o:p></p><p class=MsoNormal>[files] users: Matched entry joe2 at line 6<o:p></o:p></p><p class=MsoNormal>++[files] returns ok<o:p></o:p></p><p class=MsoNormal>++[expiration] returns noop<o:p></o:p></p><p class=MsoNormal>++[logintime] returns noop<o:p></o:p></p><p class=MsoNormal>[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.<o:p></o:p></p><p class=MsoNormal>++[pap] returns noop<o:p></o:p></p><p class=MsoNormal>Found Auth-Type = System<o:p></o:p></p><p class=MsoNormal># Executing group from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group authenticate {...}<o:p></o:p></p><p class=MsoNormal>++[unix] returns notfound<o:p></o:p></p><p class=MsoNormal>Failed to authenticate the user.<o:p></o:p></p><p class=MsoNormal>Using Post-Auth-Type Reject<o:p></o:p></p><p class=MsoNormal># Executing group from file /etc/raddb/sites-enabled/default<o:p></o:p></p><p class=MsoNormal>+- entering group REJECT {...}<o:p></o:p></p><p class=MsoNormal>[attr_filter.access_reject] expand: %{User-Name} -> joe2<o:p></o:p></p><p class=MsoNormal>attr_filter: Matched entry DEFAULT at line 11<o:p></o:p></p><p class=MsoNormal>++[attr_filter.access_reject] returns updated<o:p></o:p></p><p class=MsoNormal>Delaying reject of request 2 for 1 seconds<o:p></o:p></p><p class=MsoNormal>Going to the next request<o:p></o:p></p><p class=MsoNormal>Waking up in 0.9 seconds.<o:p></o:p></p><p class=MsoNormal>Sending delayed reject for request 2<o:p></o:p></p><p class=MsoNormal>Sending Access-Reject of id 134 to 127.0.0.1 port 40697<o:p></o:p></p><p class=MsoNormal>Waking up in 4.9 seconds.<o:p></o:p></p><p class=MsoNormal>Cleaning up request 2 ID 134 with timestamp +212<o:p></o:p></p><p class=MsoNormal>Ready to process requests.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I think I’m having an issue with freeradius reading the shadow file for the passwords, but then again, I’m not sure.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>One of the steps involved putting the group for freeradius to be “shadow” but there is no “shadow” group in the group file in CentOS 6.3.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here are the output for the ls – l in the etc directory for the password files<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>-rw-r--r--. 1 root root 1579 Oct 29 15:26 passwd<o:p></o:p></p><p class=MsoNormal>----------. 1 root root 1110 Oct 29 15:26 shadow<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I also did confirm that I can log into my server using joe2 / secret password.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Any help would be appreciated.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks,<o:p></o:p></p><p class=MsoNormal>Joe<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p></div>
<DIV><P><HR>
<br><hr>
This message and any attachments are intended only for the use of the addressee and may contain information that is privileged and confidential. If the reader of the message is not the intended recipient or an authorized representative of the intended recipient, you are hereby notified that any dissemination of this communication is strictly prohibited. If you have received this communication in error, please notify us immediately by e-mail and delete the message and any attachments from your system.<br>
</P></DIV>
</body></html>