freeRadius auf der OPNsense und LDAP/AD-Authentifizierung mit Unifi-APs

[mscd]

Hallo zusammen,

ich bin gerade dabei freeRadius auf der OPNsense in Betrieb zu nehmen. Ich möchte damit (angebunden an unser Windows AD) WPA2-Enterprise-Authentifizierung (MSCHAPv2, User + AD-Passwort) für unsere Unifi-APs umsetzen.

freeRadius + LDAP funktioniert soweit ... was ich mit "radtest" gegentesten konnte. Aktuell scheitere ich aber noch an einer erfolgreichen Anmeldung an einem Unifi-AP.
Als Fehlermeldung (über "radiusd -X") erhalte ich (im Auszug):

Code: [Select]

(11) ldap: WARNING: No "known good" password added. Ensure the admin user has permission to read the password attribute
(11) ldap: WARNING: PAP authentication will *NOT* work with Active Directory (if that is what you were trying to configure)
rlm_ldap (ldap): Deleting connection (1) - Was referred to a different LDAP server
(11)       [ldap] = ok
(11)       [expiration] = noop
(11)       [logintime] = noop
(11)       [pap] = noop
(11)     } # authorize = updated
(11)   Found Auth-Type = eap
(11)   # Executing group from file /usr/local/etc/raddb/sites-enabled/inner-tunnel
(11)     authenticate {
(11) eap: Expiring EAP session with state 0xa774c857a76dd2cb
(11) eap: Finished EAP session with state 0xa774c857a76dd2cb
(11) eap: Previous EAP request found for state 0xa774c857a76dd2cb, released from the list
(11) eap: Peer sent packet with method EAP MSCHAPv2 (26)
(11) eap: Calling submodule eap_mschapv2 to process data
(11) eap_mschapv2: # Executing group from file /usr/local/etc/raddb/sites-enabled/inner-tunnel
(11) eap_mschapv2:   authenticate {
(11) mschap: WARNING: No Cleartext-Password configured.  Cannot create NT-Password
(11) mschap: Creating challenge hash with username: m.muster
(11) mschap: Client is using MS-CHAPv2
(11) mschap: ERROR: FAILED: No NT-Password.  Cannot perform authentication
(11) mschap: ERROR: MS-CHAP2-Response is incorrect
... sprich der AP kann als Client erfolgreich die Radius-Anfrage stellen ... aber irgendwie hackt es dann.

Kann es sein, dass es im Zusammenspiel mit Unifi + freeRadius (OPNsense) + AD/LDAP hier bekanntermaßen zu Problemen kommt? Hat dieses Setup jemand erfolgreich am laufen?

Schöne Grüße,
mscd

[lucaschoene]

Hi, ich bin neu im Forum.

Wir haben tatsächlich das selbe oder ein ähnliches Problem. Ich versuche jetzt schon seit länger diese Konfiguration einzustellen.

Einstellung des Test Clients sind TTLS und innen-Tunnel: MSCHAPv2 (Laut meines Wissenstandes verwendet der Unifi-AP nämlich MSCHAPv2)

Aber erstmal meine Fehler:

Code: [Select]

2022-02-12T09:59:56 Auth: (44) Login incorrect (eap: Failed continuing EAP TTLS (21) session.  EAP sub-module failed): [l.schoeneberg] (from client ARTandTECH.space e.V. port 0)
2022-02-12T09:59:56 Auth: (44)   Login incorrect (mschap: Program returned code (2) and output 'Failed to execute "/path/to/ntlm_auth": No such file or directory'): [l.schoeneberg] (from client ARTandTECH.space e.V. port 0 via TLS tunnel)
2022-02-12T09:59:56 ERROR: (44) mschap: ERROR: Program returned code (2) and output 'Failed to execute "/path/to/ntlm_auth": No such file or directory'

Es scheint so als würde er keine Konfiguration für ntml_auth haben.
Hat jemand eine Idee?

Gruß,
Luca

[white_rabbit]

Das wurde im Nachbarforum auch schon diskutiert:

https://ask.linuxmuster.net/t/neue-doku-kapitel-v7-online-radius-auf-dem-internen-server-externe-moodle-authentifizierung/5077/4

[mimugmail]

Es gibt einen PR der das irgendwann erlaubt. Muss mal mit Franco reden wann das kommt

[Paul Beyer]

@lukasschoene

ich habe  mehrere Ubiquiti Accesspoints am Laufen. Wichtig zu wissen ist, dass die neueste Generation (hier der U6-Longrange) mit freeRadius nicht funktioniert. Das wurde in auch in Unifi-Foren schon bestätigt. Zum Glück sind die meisten meiner Accesspoints AP-ACLite. Die funktionieren soweit ganz gut.

Probleme gibt es allerdings auch mit einigen Android Telefonen (Hauptsächlich Huawei). Soll auch ein Spezialproblem von Ubiquiti Accesspoints sein. Wenn da jemand eine Lösung weiß, bitte her damit :-)

[KHE]

Hi,

Wichtig zu wissen ist, dass die neueste Generation (hier der U6-Longrange) mit freeRadius nicht funktioniert.

ich habe mit meinen U6-Pro keine Probleme. Scheint also Modellabhängig zu sein. Oder von der Firmwareversion abzuhängen.

KH

[JeGr]

> Wichtig zu wissen ist, dass die neueste Generation (hier der U6-Longrange) mit freeRadius nicht funktioniert. Das wurde in auch in Unifi-Foren schon bestätigt. Zum Glück sind die meisten meiner Accesspoints AP-ACLite. Die funktionieren soweit ganz gut.

Kann ich überhaupt nicht nachvollziehen. Hier laufen 3 U6-lite plus mehrere Unifi Switch Geraffels gegen nen FreeRadius ohne Probleme.

[lucaschoene]

Okay Paul, das ist doof, mal schauen ob Ubiquiti das evtl. noch per Firmware nachrüstet. Wir haben davon zwei und zwei nano-HD.

@lukasschoene

ich habe  mehrere Ubiquiti Accesspoints am Laufen. Wichtig zu wissen ist, dass die neueste Generation (hier der U6-Longrange) mit freeRadius nicht funktioniert. Das wurde in auch in Unifi-Foren schon bestätigt. Zum Glück sind die meisten meiner Accesspoints AP-ACLite. Die funktionieren soweit ganz gut.

Probleme gibt es allerdings auch mit einigen Android Telefonen (Hauptsächlich Huawei). Soll auch ein Spezialproblem von Ubiquiti Accesspoints sein. Wenn da jemand eine Lösung weiß, bitte her damit :-)

Ich habe mal eine Issue auf GitHub erstellt dazu:
https://github.com/opnsense/plugins/issues/2834

Gruß,
Luca

[lucaschoene]

> Wichtig zu wissen ist, dass die neueste Generation (hier der U6-Longrange) mit freeRadius nicht funktioniert. Das wurde in auch in Unifi-Foren schon bestätigt. Zum Glück sind die meisten meiner Accesspoints AP-ACLite. Die funktionieren soweit ganz gut.

Kann ich überhaupt nicht nachvollziehen. Hier laufen 3 U6-lite plus mehrere Unifi Switch Geraffels gegen nen FreeRadius ohne Probleme.

Okay, das ist interessant. Kannst uns evtl. zeigen wie du deine OPNsense Konfiguriert hast ?

Gruß,
Luca