华为AC6605系列无线控制器,管理所有的fitap,在大型的网络中,一般都用802.1x +radius验证后无线上网。
freeradius的各项配置都没有问题,radtest确认下面的两个账号都没有问题。
| whs11 | md5-Password | := | f696282aa4cd4f614aa995190cf442fe |
| demo | cleartext-password | := | demo321 |
radtest name password localhost 0 key ,每个都显示ACCEPT,
但是在华为AC6605测试test-aaa ,都显示 Error: Account test time out.
解决方法:
在AC6605内看一下配置
radius-server template lwcz.com
radius-server shared-key cipher %@%@Z\}v+3Ym$ZCm>aFDTs-XTW44%@%@
radius-server authentication 192.168.6.10 1812 weight 81
radius-server accounting 192.168.6.10 1813 weight 81
在radius服务器内,killall -9 radiusd , radiusd -X 启动的是DEBUG模式。
1)用户账号和密码正确,但是share-key错误会显示timeout。
在AC6605控制器中操作。
radius-server sharekey cipher key 修改share-key
test-aaa demo demo321 radius lwcz.com 测试通过,radius服务器的信息显示accept。
test-aaa whs11 whs111 radius lwcz.com 测试还是timeout,radius服务器显示的信息是reject,参考2)解决方法。
2)密码账号和share-key都正确,但是radcheck表内密码类型不匹配,在freeradius的radcheck内,保存有字段四个:
user,attribute,op,value,user是账号,attribute是密码加密类型,value是密码。
freeradius服务器内,查看一下radcheck,可以看到密码加密有md5-password,cleartext-password
mysql>select * from radcheck ;
可以看到两个
| whs11 | md5-Password | := | f696282aa4cd4f614aa995190cf442fe |
| demo | cleartext-password | := | demo321
test-aaa username password radius lwcz.com 该测试要求radius内的密码是明文方式。因此demo可以通过,但whs11无法验证;
test-aaa username password radius lwcz.com pap 该测试要求radius内的密码是md5方式。因此whs11可以通过。
现在可以在ac6605如下测试了:
test-aaa demo demo321 radius lwcz.com
test-aaa whs11 whs111 radius lwcz.com pap
小结: 没有pap/chap,只支持radcheck内密码类型为password或者cleartext-password。
加上pap ,则支持MD5-pasword类型的认证。
猜想:加上chap呢?一定是MD5和cleartext之外的加密方式才可以!
2017年10月新增加补充:
radiusd.conf内有
reject_delay=5,拒绝按照延时5秒,在AC6605 中验证失败会显示timeout
reject_delay=1, 拒绝按照延时1秒,在AC6605 中会显示用户名或者密码错误t
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
