freeRADIUS 버전 2를 사용하고 있습니다. 기본 eap 유형을 성공적으로 변경했습니다.
이제 기본적으로 pap이 필요하므로 내부 인증을 변경하려고 합니다.
ttls의 내부 인증을 변경하려고 시도했지만 다음과 같은 일이 발생합니다.
ttls {
default_eap_type = "pap"
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
include_length = yes
}
rlm_eap_ttls: Unknown EAP type pap
rlm_eap: Failed to initialize type ttls
/usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module "eap"
/usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module "eap".
/usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section.
또한 peap의 내부 인증을 변경해 보았지만 문제는 이전과 동일합니다.
peap {
default_eap_type = "pap"
copy_request_to_tunnel = no
use_tunneled_reply = no
proxy_tunneled_request_as_eap = yes
virtual_server = "inner-tunnel"
soh = no
}
rlm_eap_peap: Unknown EAP type pap
rlm_eap: Failed to initialize type peap
/usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module "eap"
/usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module "eap".
/usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section.
왜 아빠를 몰라? 감사해요.
답변1
문제는 PAP가 EAP 유형이 아니라는 것입니다. PAP는 일종의 인증입니다.
EAP-TTLS는 내부적으로 PAP를 사용할 수 있는 유일하게 널리 사용되는 EAP 유형이므로 이를 사용하고 있다고 가정합니다.
서버는 EAP-TTLS를 처리할 때 EAP-TTLS TLS 터널 내의 속성을 추출하고 그로부터 RADIUS 속성을 생성합니다. 그런 다음 이러한 특성(EAP를 전달하는 RADIUS 패킷의 특성과 결합될 수 있음)이 포함된 요청을 "프록시"하고 이를 다른 가상 서버로 보냅니다(기본값은 "내부 터널").
내부 터널에서 PAP 인증을 수행하기 위해서는 RADIUS와 같은 PAP 설정이 필요합니다.
etc/raddb/사용 가능한 사이트/내부 터널
server inner-tunnel {
authorize {
ldap | sql | files | whichever module you use to retrieve passwords
pap
}
authenticate {
pap
}
}
참고: 또한 요청자의 내부 방법으로 PAP를 선택해야 합니다. 신청자가 내부 EAP 방법을 사용하는지 아니면 터널 속성을 사용하는 PAP/CHAP/MSCHAPv2를 사용하는지 협상할 방법이 없습니다. 요청자는 속성을 보내고 서버는 보내는 모든 것을 받아들입니다. 요청자가 EAP 메시지 속성을 보내고 EAP 모듈이 구성된 경우 서버는 EAP를 수행합니다. 요청자가 사용자 비밀번호 속성을 보내고 PAP 모듈이 구성된 경우 서버는 PAP를 수행합니다.
이는 신청자와 서버가 EAP 방법을 협상할 수 있는 EAP와 다릅니다. 많은 예시 교환이 있습니다.RFC5281거기에서 전송되는 다양한 속성을 볼 수 있습니다.