It is currently 24.02.2018 00:21


All times are UTC




Post new topic Reply to topic  [ 10 posts ] 
Author Message
 Post subject: Benutzerauthentisierung über Radius, MS IAS
PostPosted: 08.06.2006 09:30 
Tripple-DES
Tripple-DES

Joined: 23.05.2006 16:51
Posts: 24
Hallo,
hat jemand von euch schon eine Benutzerauthentisierung über einen Radius Server (in meinem Falle Microsoft Internet Authentication Service) realisiert?
In diesem Thread http://openvpn-forum.de/openvpn-forum/v ... hlight=ias scheint das schon funktioniert zu haben.
Ich hab das ganze soweit, dass der Benutzername abgefragt wird, dieser am IAS verifiziert wird und als gültig erkannt wird (steht im Event-LOG) und dann an den OpenVPN Server zurückgeschickt wird. Leider taucht hier irgendwo (WO ist die Frage), ein Fehler auf, denn der Benutzername wird von Linux nicht akzeptiert (nach einer Weile wird erneut nach dem Benutzer gefragt), oder vielleicht auch einfach nicht an die OpenVPN Applikation weitergegeben.
Hat das schon jemand realisiert? Gibt es ein HowTO?

In dem verlinkten Thread steht etwas von:

My problem was that the application, mod_pam_auth, does a
pam_acct_mgmt() after it authenticates the user. Because the users I
was authenticating existed only on the NT server, and because I had no
"account" lines in my configuration file (pam_smb provides no account
service) the default (other) "account" action would take place and fail
because the users don't exist locally. Making these changes to my
config file fixed me up.


#############################################
#%PAM-1.0
#


auth required /lib/security/pam_smb_auth.so debug nolocal
account required /lib/security/pam_permit.so
#############################################


Vielleicht ist das mein Problem, jedoch verstehe ich nicht wirklich wo diese Zeilen einzufügen sind.
Hat jemand einen Tipp? Bin für alles dankbar.

Grüsse Janand2



Hab grad im Log die folgenden Infos gefuden:

AUTH-PAM: BACKGROUND: received command code: 0
AUTH-PAM: BACKGROUND: USER/PASS: "UserName"/"Password"
AUTH-PAM: BACKGROUND: my_conv[0] query='Password: ' style=1
AUTH-PAM: BACKGROUND: user '"UserName"' failed to authenticate: Authentication service cannot retrieve authentication info.
Thu Jun 8 13:37:03 2006 us=535916 192.168.17.205:1323 PLUGIN_CALL: POST /lib/security/openvpn-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Thu Jun 8 13:37:03 2006 us=536079 192.168.17.205:1323 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /lib/security/openvpn-auth-pam.so
Thu Jun 8 13:37:03 2006 us=536224 192.168.17.205:1323 TLS Auth Error: Auth Username/Password verification failed for peer


Vielleicht versteht dies jemand??


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.06.2006 20:14 
Tripple-DES
Tripple-DES

Joined: 23.05.2006 16:51
Posts: 24
Hab das ganze nun nicht über IAS, Radius gelöst sondern über Winbind.
D.h. die Benutzer werden nun über die ADS abgefragt, für diejenigen, die es interessiert kann ich mal beschreiben wie's funktioniert.
Grüsse Janand2


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 27.06.2006 18:35 
DES
DES

Joined: 27.06.2006 18:29
Posts: 4
Hi Janand2,


bin gerade beim Suchen über dein Posting gestossen. Konkret suche ich eine Lösung via Linux-basierendem VPN Server die VPN-User gegen ein existierendes Active Directory zu authentifizieren.

So wie ich es aus deinem Beitrag lese hast du das geschafft. Glückwunsch !

Mich würde interessieren ob du bei den Clients nur Username und Passwort abfragst, oder ob dort ggf. noch Zertifikate zum Einsatz kommen. In einem anderen Forum habe ich gelesen dass eine solche Konfig wohl möglich sei, der OpenVPN Server aber Zertifikate als CA installiert haben muss.

Wäre nett wenn du mir hier weiterhelfen könnten.


Gruss

Michael


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 27.06.2006 19:18 
Tripple-DES
Tripple-DES

Joined: 23.05.2006 16:51
Posts: 24
Hallo,

die Benutzer werden über Winbind gegenüber der ADS authorsiert.
Zertifikate kommen ebenfalls zum Einsatz, der private key des Clients ist ausserdem mit einem Passwort geschützt.

Grüsse Janand2


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 27.04.2007 22:27 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
hallo janand2!

kannst du die info wie du das winbind eingebaut hast hier einmal zusammenschreiben?
oder hat sonst wer irgendeine funktionierende konfiguration, die einen user unter linux zu einem ads von MS authorisiert, bekommen?

bin auf der suche!!!

ThX
ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject: OpenVPN + PAM + RADIUS(Windows 2003) = SUCCESS
PostPosted: 03.05.2007 05:52 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
Quote:
Hi all,

just thought I'll post a message with my success story on getting radius
authentication working. Hopefully it will help someone trying to do the same.

server os is Redhat 8
client os XP sp1
radius server is Windows 2003 Enterprise server.

1. add plugin line in openvpn_server.conf or whatever you called it.
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn

2. if not installed, download and compile the pam_radius_auth pam module
ftp://ftp.freeradius.org/pub/radius/pam ... .17.tar.gz

3. copy pam_radius_auth.so to /lib/security/

4. create /etc/raddb/server file and add radius server details like this:
192.168.2.1 mysecret123456

5. create pam file /etc/pam.d/openvpn with the following contents
#%PAM-1.0
auth sufficient pam_radius_auth.so debug
account sufficient pam_permit.so
session sufficient pam_permit.so

6. Install the "Internet Authentication Server" (IAS) on Windows server.

7. Add radius client with matching secret as above,
radius client vendor:standard

8. Make sure user is allowed to dial-in.

9. In the Openvpn client config add the following line to enable authentication.
auth-user-pass

10. Done.

Hope this helps.

Greg

http://openvpn.net/archive/openvpn-user ... 00323.html

Um die oben genutzte openvpn-auth-pam.so zu erstellen steht hier wie es geht:

Quote:
Using Shared Object or DLL Plugins
Shared object or DLL plugins are usually compiled C modules which are loaded by the OpenVPN server at run time. For example if you are using an RPM-based OpenVPN package on Linux, the openvpn-auth-pam plugin should be already built. To use it, add this to the server-side config file:

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so loginThis will tell the OpenVPN server to validate the username/password entered by clients using the login PAM module.

For real-world production use, it's better to use the openvpn-auth-pam plugin, because it has several advantages over the auth-pam.pl script:

The shared object openvpn-auth-pam plugin uses a split-privilege execution model for better security. This means that the OpenVPN server can run with reduced privileges by using the directives user nobody, group nobody, and chroot, and will still be able to authenticate against the root-readable-only shadow password file.
OpenVPN can pass the username/password to a plugin via virtual memory, rather than via a file or the environment, which is better for local security on the server machine.
C-compiled plugin modules generally run faster than scripts.
If you would like more information on developing your own plugins for use with OpenVPN, see the README files in the plugin subdirectory of the OpenVPN source distribution.

To build the openvpn-auth-pam plugin on Linux, cd to the plugin/auth-pam directory in the OpenVPN source distribution and run make.

http://openvpn.net/howto.html (mitte)

Zum IAS (Internetauthentifizierungsdienst - so der Name im Deutschen) ist bei Windows 2003 Server im Standard bis zum Enterprise mit dabei. Unterschiede gibts in der Anzahl der Clients. Die Standard 2003 Version kann nur 50 Clients, die Enterprise hat unendlich.
Am IAS muss nur der OpenVPN Server eingetragen werden mit seiner IP zur Authorisierung. Dann muss noch eine Regel aufgestellt werden die bestimmte User oder eine bestimmte Usergruppe für die Radius Authentifizierung zulässt. Am Server Rechner selber sollte natürlich der User bzw. die Gruppe in die er sich befindet existieren und er benötigt Einwahlberechtigung. Soll der IAS ans ADS und damit ans LDAP angebunden werden muss der IAS auf einem Domänencontroller installiert sein...und soweit ich gelesen habe muss das ADS auf ihn "eingestellt" werden...Bitte da nochmal selber nachlesen...

Das ist die Lösung :)
Ich habs genauso umgesetzt und es läuft.
..ich werds noch mit weiteren Infos auffüllen..

Wer bock hat das ins Wiki zu stellen.. -> denke das suchen einige :o)

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 05.05.2007 14:00 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
HEEEEELP!!!!

Ich hab das umgesetzt und bisher nur mit nem einfachen User und Passwort getestet.
Jetzt will ich Live gehen und über das GUI bekomme ich es nicht hin Sonderzeichen, wie sie überlicherweise als Passwort verwendet werden sollen, an den Server zu senden.

Wo muss ich schrauben, damit die äöüÄÖÜ?'$%"§ usw. als Passwort übertragen werden?

@note
Hast du vieleich hier einen Gedanken?

Thx
ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.05.2007 11:15 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Ich hab zwar mit dem Thread nichts zutun, aber vllt erklärt dieses Zitat aus der Manpage, warum es nicht klappt:
Quote:
To protect against a client passing a maliciously formed username or password string, the username string must consist only of these characters: alphanumeric, underbar ('_'), dash ('-'), dot ('.'), or at ('@'). The password string can consist of any printable characters except for CR or LF. Any illegal characters in either the username or password string will be converted to underbar ('_').

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.05.2007 16:10 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
Danke Note für die Info!
>Mit Manpage meinste die von OpenVPN?
>Oder vom Radius?
gefunden: http://openvpn.net/man.html

Wenn das echt am OpenVPN liegt bin ich voll zurückgeschlagen mit meinem Plan den OPENVPN User mit Username/Passwort (ohne Einschränkungen) zu authentifizieren....

Irgendwie denke ich dennoch das das PAM Modul was ich als Script verwenden möchte nirgens mit Einschränkungen erwähnt wird.
Es sei denn das OpenVPN auch diese Plugins mit den fehlenden/umgewandelten Zeichen versorgt werden.

..ich muss weitersuchen.. :(

Danke für den Hinweis.

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.05.2007 20:45 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
..ok..ok!
Denke ich hab mich jetzt schon zu lange mit dem Problem der Passwortübergabe herumgestritten und mache jetzt einen Schnitt.

OpenVPN -> PAM -> IAS W3K Radius

Es funktioniert, aber mit Einschränkungen :idea:

Leider hatte mein verwendetes Passwort eines dieser Buchstaben und daher empfand ich es als riesiges Problem das ich erkennen und beheben wollte.

Das was note schrieb ist auch so
Quote:
Any illegal characters in either the username or password string will be converted to underbar ('_').


Nicht alle möglichen Zeichen auf dem deutschen Tastaturlayout können für die Passworteingabe verwendet werden.
...natürlich auch nicht für den Usernamen :wink:

Meine Tests ergaben:
@Ü*+'#ÄäöÖ_-:.,;><
@_*+'#_____-:.,;><


Was nicht geht: äÄüÜöÖß$

Ich für mich bin jetzt der Meinung das ich diese Zeichen einfach ausklammere bei der Passwortwahl. Wie und ob das unter W3K geht muss ich noch rausfinden, aber ich denke schon das es klappt.

Zusammenfassend habe ich für mich das Radius Plugin, wie auch weiter oben beschrieben, für mich entdeckt und werde es nutzen da ich unter Windows das komplette Netzwerk habe und den OpenVPN unter Linux. Weiterhin kann ich auch nun das WLAN an dem Radius authentifizieren lassen welches auch zusätzlich noch mit dem VPN abgesichert wird. Eine Umgebung in der ein Freeradius eine Rolle spielt der sich dann als LDAP/ADS anbindet könnte ich mir auch noch vorstellen, aber aktuell macht es bei mir keinen Sinn. Würde der OpenVPN unter Windows laufen, dann wäre sicherlich ein Script wie hier http://www.vpnforum.de/openvpn-forum/vi ... hp?t=3363& beschrieben zum Einsatz kommen.

..soviel wie ich hierfür unter Linux alles compiliert und getestet habe damit die einzelnen Möglichkeiten überhaupt getestet werden konnten war schon irre. Spitzenreiter ist dieses hier: http://dpw.threerings.net/projects/openvpn-auth-ldap/ Die Beschreibung und alles ist echt klasse und eine einfache LDAP Anbindung wäre mein Dingen gewesen...hinbekommen habe ich es allerdings nicht.

ApPzLaNd


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 10 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Google [Bot] and 5 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net