Tweet
Hallo zusammen
Ich habe folgendes Szenario: Benutzer melden sich via diverse RAS Lösungen in einem Netzwerk an. Die Authentisierung erfolgt via RADIUS und funktioniert bereits.
In diesem Netzwerk steht ein einziger Server (momentan Windows 2003) für Testzwecke, der die Dienste Windows File Share, SSH, FTP, HTTP und HTTPS anbietet. Hier erfolgt die Authentisierung lediglich via lokalem User.
Zwecks Reporting soll es nun aber möglich sein, herauszufinden welcher Benutzer welchen Dienst verwendet hat.
Ich dachte mir die einfachste Lösung wäre es, wenn jeder dieser Dienste ebenfalls eine RADIUS Authentifizierung voraussetzen würde und habe hierzu einen Ubuntu Server aufgesetzt. Da nicht ganz alles so funktioniert wie ich es möchte wäre ich froh um Tipps.
Als kurzer Überblick was funktioniert und was nicht:
- Apache funktioniert via mod_auth_radius
- vsftp macht zwar erfolgreich RADIUS Abfragen, Benutzer wird aber dennoch abgelehnt (via pam_radius_auth)
- ssh macht ebenfalls RADIUS Abfragen, hier meldet aber bereits der RADIUS Server "Wrong password or invalid shared secret" (ebenfalls pam_radius_auth)
Was ich bisher gemacht habe ist folgendes
In /etc/pam.d/vsftpd befindet sich nur noch folgender Eintrag
Die RADIUS Anmeldung ist erfolgreich:
Dennoch wird der Client abgelehnt:
In /etc/pam.d/ssh wurde ebenfalls auth sufficient /lib/security/pam_radius_auth.so hinzugefügt.
Allerdings liefert hier bereits der RADIUS Server wie erwähnt "Wrong password or invalid shared secret".
Sowohl zu vsftp und ssh gibt es diverse Anleitung und Tutorials im Netz, allerdings komme ich damit nicht weiter.
Sofern jemand eine Idee oder einen anderen Lösungsansatz hat wäre ich höchst erfreut
Ich habe folgendes Szenario: Benutzer melden sich via diverse RAS Lösungen in einem Netzwerk an. Die Authentisierung erfolgt via RADIUS und funktioniert bereits.
In diesem Netzwerk steht ein einziger Server (momentan Windows 2003) für Testzwecke, der die Dienste Windows File Share, SSH, FTP, HTTP und HTTPS anbietet. Hier erfolgt die Authentisierung lediglich via lokalem User.
Zwecks Reporting soll es nun aber möglich sein, herauszufinden welcher Benutzer welchen Dienst verwendet hat.
Ich dachte mir die einfachste Lösung wäre es, wenn jeder dieser Dienste ebenfalls eine RADIUS Authentifizierung voraussetzen würde und habe hierzu einen Ubuntu Server aufgesetzt. Da nicht ganz alles so funktioniert wie ich es möchte wäre ich froh um Tipps.
Als kurzer Überblick was funktioniert und was nicht:
- Apache funktioniert via mod_auth_radius
- vsftp macht zwar erfolgreich RADIUS Abfragen, Benutzer wird aber dennoch abgelehnt (via pam_radius_auth)
- ssh macht ebenfalls RADIUS Abfragen, hier meldet aber bereits der RADIUS Server "Wrong password or invalid shared secret" (ebenfalls pam_radius_auth)
Was ich bisher gemacht habe ist folgendes
Code:
user@server:~$ more /etc/pam_radius_auth.conf # server[:port] shared_secret timeout (s) #127.0.0.1 secret 1 192.168.249.10 <sharedsecret> 3
Code:
user@server:~$ more /etc/pam.d/vsftpd auth sufficient /lib/security/pam_radius_auth.so
Code:
Aug 27 11:05:54 server vsftpd: pam_radius_auth: Got user name xyz Aug 27 11:05:54 server vsftpd: pam_radius_auth: Sending RADIUS request code 1 Aug 27 11:05:54 server vsftpd: pam_radius_auth: DEBUG: getservbyname(radius, udp) returned 126499904. Aug 27 11:05:54 server vsftpd: pam_radius_auth: Got RADIUS response code 2 Aug 27 11:05:54 server vsftpd: pam_radius_auth: authentication succeeded
Code:
C:\Dokumente und Einstellungen\user>ftp 192.168.249.12 Verbindung mit 192.168.249.12 wurde hergestellt. 220 (vsFTPd 3.0.2) Benutzer (192.168.249.12:(none)): xyz 331 Please specify the password. Kennwort: 530 Login incorrect. Anmeldung fehlgeschlagen.
Allerdings liefert hier bereits der RADIUS Server wie erwähnt "Wrong password or invalid shared secret".
Sowohl zu vsftp und ssh gibt es diverse Anleitung und Tutorials im Netz, allerdings komme ich damit nicht weiter.
Sofern jemand eine Idee oder einen anderen Lösungsansatz hat wäre ich höchst erfreut
Kommentar