行动时刻 - 使用 control-socket 和 raddebug 进行故障排除

优质
小牛编辑
140浏览
2023-12-01

如前所述,在Ubuntu上没有启用控制套接字虚拟服务器,在我们通过raddebug使用控制套接字之前,SUSE和CentOS上的默认安装需要进行一些调整。

CentOS

在CentOS上执行以下操作以使raddebug可用:

  1. 通过检查控制套接字(control-socket)虚拟服务器是否已在启用站点的目录下列出来确认它已启用: #> ls /etc/raddb/sites-enabled
  2. 编辑控制套接字虚拟服务器文件,并确保在服务器部分底部将模式指定为mode = rw。
  3. 确保radiusd用户属于root组: #> /usr/sbin/usermod -a -G root radiusd
  4. 使用启动脚本重新启动FreeRADIUS: #> /etc/init.d/radiusd restart

SUSE

在SUSE上执行以下操作以使raddebug可用:

  1. 通过检查它是否列在sites-available目录下,确认控制套接字虚拟服务器已启用: #> ls /etc/raddb/sites-enabled
  2. 编辑控制套接字虚拟服务器文件,并确保在服务器部分底部将模式指定为mode = rw。
  3. SUSE默认以root身份运行FreeRADIUS,因此不需要将radiusd用户添加到根组以修复权限。 但是,如果您以用户radiusd而不是root身份运行FreeRADIUS,请记住将radiusd添加到root组。
  4. 使用启动脚本重新启动FreeRADIUS。 #> /etc/init.d/freeradius restart

Ubuntu

在Ubuntu上执行以下操作以使raddebug可用:

  1. 启用控制套接字虚拟服务器:
$> sudo su
#> cd /etc/freeradius/sites-enabled
#> ln -s ../sites-available/control-socket ./
  1. 编辑控制套接字虚拟服务器文件,并确保在服务器部分底部将模式指定为mode = rw。
  2. 确保freerad用户是根组的一部分: #> usermod -a -G root freerad
  3. 使用启动脚本重新启动FreeRADIUS。 #> /etc/init.d/freeradius restart

使用raddebug

raddebug程序在生产环境中真正节省了生命。让我们假设我们有一个生产环境,其接入点的IP为192.168.1.103,试图对用户进行身份验证。我们不知道共享的密钥是错的,但我们很快就会发现!

  1. 确保您是FreeRADIUS服务器上的root用户,该服务器已按照前面所述激活和配置控制套接字。 为了使用raddebug,纯粹主义者可能会皱着眉头。然而,这证明在所有分布中给出的问题最少。
  2. 从终端发出以下命令: #> raddebug -t 300 -i 192.168.1.103
  3. (如果使用CentOS,则必须在raddebug命令之前使用以下命令以准备$ PATH variable : export PATH = $ PATH:/usr/sbin)
  4. 从IP地址为192.168.1.103的主机发送EAP身份验证请求,但使用错误的共享密钥。
  5. 观察运行raddebug的终端上的输出:
Received Access-Request packet from host 192.168.1.103 port 41450, id=18, length=63
Cleaning up request 5 ID 18 with timestamp +253
  1. 在FreeRADIUS日志文件上运行tail -f以观察日志文件的输出:
Thu May 19 21:20:47 2012 : Error: Received packet from 192.168.1.103 with invalid Message-Authenticator! (Shared secret is incorrect.) Dropping packet without response.
  1. 修复共享密钥并执行另一个EAP身份验证请求。 raddebug的输出不应该显示合约:
Received Access-Request packet from host 192.168.1.103 port 34008, id=22, length=63
NAS-IP-Address = 192.168.1.103
User-Name = "alice"
EAP-Message = 0x0200000a01616c696365

刚刚发生了什么?

我们使用raddebug命令有选择地观察来自IP地址为192.168.1.103的客户端的请求的调试输出。

记住日志输出

raddebug命令仅报告调试消息,而不报告错误消息。 错误消息仍将记录到FreeRADIUS日志文件中。 与在调试模式下启动FreeRADIUS时相比,这是不同的。 当我们在调试模式下启动FreeRADIUS时,会在终端中报告错误消息以及调试消息。 出于这个原因,我们在日志文件中使用tail -f命令来查看那里报告的内容。

发现不匹配的共享密钥

当您查看使用PAP的Access-Request中的User-Password属性时,很容易发现不匹配的共享密钥。 此AVP的值将包含所有奇怪的字符,而不是用户的密码。 以下是调试输出中的一个示例: User-Password = "(*t\303v\230_\264\t;\211\221\343\024\343$"

但是,在我们的练习中,我们使用的是EAP而不是PAP。 使用EAP,您必须采用不同的方法来检测错误的共享密钥。 客户端上最近的RADIUS实现包括请求中的Message-Authenticator AVP。 此AVP为RADIUS协议增加了额外的安全性,也是FreeRADIUS确认共享密钥是否正确的快捷方式。 如果FreeRADIUS从Message-Authenticator的值中获取共享密钥错误,它将只报告它并忽略该数据包。 这是我们在练习中经历的。 具有错误共享密钥的客户端实现(不包括Message-Authenticator AVP)在服务器上不使用PAP身份验证协议时检测起来非常困难。 FreeRADIUS配置目录下的clients.conf文件中的客户端定义可以使用以下指令强制使用Message-Authenticator: require_message_authenticator = yes

有关Message-Authenticator AVP的更多信息以及对RADIUS协议的其他改进建议,您可以查看RFC 5080。 始终尝试使用包含Message-Authenticator AVP的RADIUS客户端。这使得RADIUS协议更加安全,并且可以轻松检测错误的共享密钥。另请注意,尽管FreeRADIUS支持最多31个字符的共享密钥,但并非所有客户端设备都支持该多个字符的共享密钥。当事情不能正常工作时,这些设备可能不会总是通知您这一限制,从而导致混淆。

raddebug的选项

raddebug命令有两个方便的选项,如下所示: <-u name:此选项允许您指定将用于过滤请求的用户名。仅显示具有User-Name == name的请求。 <-i ipv4-address:此选项允许您指定客户端的源IP地址以过滤请求。仅显示来自Packet-Src-IP-Address == ipv4-address的请求。 还有一个-c选项可用于创建更复杂的条件。这些条件是使用unlang语法创建的。

Raddebug自动终止

raddebug手册页提到默认情况下会在十秒后终止。 这个持续时间因系统而异,通常要长得多。 在练习中,我们将持续时间增加到300秒(5分钟)。 该手册页还提到-t 0选项将让它永远运行。 但是,这不适用于我的任何服务器。

如果raddebug没有输出

如果您没有从raddebug获得任何输出,请确认运行FreeRADIUS服务器的用户,例如,radiusd是root组的成员,并且在使其成为root组的成员后重新启动了FreeRADIUS服务器。 以root身份运行FreeRADIUS时,不需要它。

定义客户端时的一些提示 client.conf文件中定义的新客户端未加载SIGHUP信号。 你必须重新启动freeradius才能使用它们。如果在SQL表中定义客户端,则同样适用。 但是,有一个名为dynamic-clients的虚拟服务器可用作支持新客户端的引用,而无需重新启动FreeRADIUS。

如果您决定创建一个脚本,只要配置了新客户端,该脚本将自动重启FreeRADIUS,请记住在实际重新启动服务器之前进行配置检查(-C)。 如果引入导致服务器无法启动的配置错误,则无法执行此操作可能会出现问题。

下一节将介绍用户通过本节中讨论的RADIUS客户端进行身份验证时可能出现的问题。