Cisco AAA + Radius buscando usuarios no AD

alguem poderia me ajudar com isso??

procuro a meses na net algo q me ajude mas nunca funciona!!!
quando acho só acho de TACACS, q é totalmente diferente...

meu samba ta rodando direitinho e consegue fazer a consulta no AD, a configuracao basica do radius tb

os dois estao rodando num fedora 10

ja ate perdi as contas de qts vezes perdi a gerencia do 3600..

eu vi aqui no forum um artigo pro tacacs completinho,

sera q poderiam colocar pro radius tb??


grato..

Hoje já estou em ritmo de feriado rsss, quarta-feira eu posto algo com exemplos.

Mas eu tenho um link aqui no meu favoritos que dá alguns exemplos de configuração, pode segui-lo que da certo:

http://www.ibm.com/developerworks/library/l-radius/

abs

deu certo!
meu erro estava em configurar o line vty para o grupo de autenticacao, mas o novo problema agora é que ele autentica o usuario bonitim, mas nao da base do AD e nem da dele...nao sei de onde veio esse cara, ainda tentei colocar line vty 1 4 para o RADIUS e line vty 0 para usuario local, vou postar agora tudo q fiz ate aqui, se vcs puderem me ajudar...

ola,

estou a meses tentando resolver e fazer graannnnddeee projeto que é seguinte:

Um lab com um AD ( dominio TIMLIG.COM );
freeradius com todos os modulos e rodando 100% para testes locais;
alguns Swithes e roteadores cisco para teste;
implementar certificacao digital em cima da autenticacao LDAP;

a ideia é: um usuario entra com as credenciais no equipamento cisco e o radius consulta a base de dados do Active directory da empresa e libera o acesso.

a consulta do radius ao AD feita, ele consegue ''logar-se'' no servidor, mas na hora de autenticar o usuario ele falha, e nao consigo colocar o TLS nem gerar o certificado.

ja consultei quase todo tipo de HOWTO, tutorial, wiki e coisa do tipo, mas nenhum me ajuda nessa situacao..

a configuracao nos cisco estao ok, pois ja consegui autenticar com base de dados Mysql, tenho documentado, quem quizer so falar..

me ajudem!!

saida do radius:

rad_recv: Access-Request packet from host 127.0.0.1:44178, id=44, length=58
User-Name = "rgomes"
User-Password = "Intelig23"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 4
modcall[authorize]: module "preprocess" returns ok for request 4
modcall[authorize]: module "chap" returns noop for request 4
modcall[authorize]: module "mschap" returns noop for request 4
rlm_realm: No '@' in User-Name = "rgomes", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 4
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 4
users: Matched entry DEFAULT at line 153
users: Matched entry DEFAULT at line 217
modcall[authorize]: module "files" returns ok for request 4
rlm_ldap: - authorize
rlm_ldap: performing user authorization for rgomes
radius_xlat: '(uid=rgomes)'
radius_xlat: 'dc=timlig,dc=com'
rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: performing search in dc=timlig,dc=com, with filter (uid=rgomes)
rlm_ldap: object not found or got ambiguous search result
rlm_ldap: search failed
rlm_ldap: ldap_release_conn: Release Id: 0
modcall[authorize]: module "ldap" returns notfound for request 4
rlm_pap: WARNING! No "known good" password found for the user. Authentication may fail because of this.
modcall[authorize]: module "pap" returns noop for request 4
modcall: leaving group authorize (returns ok) for request 4
rad_check_password: Found Auth-Type LDAP
auth: type "LDAP"
Processing the authenticate section of radiusd.conf
modcall: entering group LDAP for request 4
rlm_ldap: - authenticate
rlm_ldap: login attempt by "rgomes" with password "Intelig23"
radius_xlat: '(uid=rgomes)'
radius_xlat: 'dc=timlig,dc=com'
rlm_ldap: ldap_get_conn: Checking Id: 0
rlm_ldap: ldap_get_conn: Got Id: 0
rlm_ldap: performing search in dc=timlig,dc=com, with filter (uid=rgomes)
rlm_ldap: object not found or got ambiguous search result
rlm_ldap: ldap_release_conn: Release Id: 0
modcall[authenticate]: module "ldap" returns notfound for request 4
modcall: leaving group LDAP (returns notfound) for request 4
auth: Failed to validate the user.
Delaying request 4 for 1 seconds
Finished request 4
Going to the next request



no radiusd.conf

la no modules......

ldap {
server = "lab-timlig.timlig.com"
identity = "cn=Administrator,cn=Users,dc=timlig,dc=com"
password = Intelig23
# port = 636
basedn = "dc=timlig,dc=com"
# basedn = "o=timlig.com"
#filter = "(mail=%u)"
base_filter = "(objectclass=person)"
#filter = "(&(samaccountname=%{user-name}))"
# filter = "(cn=%U)"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"

}

authorize {
preprocess
# auth_log

# attr_filter
chap
mschap
# digest
# IPASS
suffix
# ntdomain
eap
files
# sql
# etc_smbpasswd
ldap
# daily
# checkval
pap
}

authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}

#
# MSCHAP authentication.
Auth-Type MS-CHAP {
mschap
}

# digest
# pam

unix

Auth-Type LDAP {
ldap
}

eap
}


no users


DEFAULT Auth-Type := LDAP


nos equipamentos cisco:


aaa authentication banner # Roteador XXXXX #
aaa authentication login default group radius local
aaa authentication login localauth local
aaa authentication ppp default if-needed group radius local
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting delay-start
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
aaa session-id common
ip subnet-zero

radius-server host 10.3.6.167 auth-port 1812 acct-port 1813 Router(config)# radius-server key cisco

Radius-server host é o ip do servidor radius, no caso 10.3.6.167, NAS autenticando nas portas 1812 e 1813 e key cisco, a senha configurada no clients.conf

Pelo que entendi ele esta funcionando certinho com radius, mas quando perde a autenticação, não esta funcionando a local, correto?

Bom primeiro, você configurou um usuário local no cisco ne?

Se ele ja estiver configurado tenta fazer isso:

Retira esta linha:

aaa authorization exec default group radius if-authenticated

E deixa assim (informando que a segunda tentativa vai ser local):

aaa authorization exec default group radius local

Ai pode deixar sem esta linha tbm:

aaa authentication login admin local

E deixa as lines sem nenhum login authentication, ou deixa só login authentication default

abs

blz pessoal!
depois de meses quebrando a cabeça consegui terminar isso..
to documentando e depois eu posto aqui, a parada ficou sinistra! hehe


eu só continuo nao conseguindo logar local quando o radius cai