abills-0.42 Auth.pm - mschap вопрос

[NiTr0]

Решил обновить свой биллинг, утащил исходники из CVS, начал навешивать патчи - и был очень смущен тем, что код MSCHAP/MSCHAPv2 аутентификации закомментирован
Кто-то может объяснить, зачем/почему это сделано?

[~AsmodeuS~]

уже довольно давно он закоментирован с той целью чтобы она делалась средствами радиуса.
средствами радиус быстрее и внешними скриптами невозможно создать правильный ключ mppe

[NiTr0]

Ясно, буду курить мануал по прикручиванию скриптов к радиусу...

P.S. Насколько я понял, это касается MSCHAPv2, а как же просто MSCHAP?

[~AsmodeuS~]

приходилось много подключать разных модулей и дял облегчения скрипта я выбросил прост отуда ms chap функции

[NiTr0]

Наткнулся после апдейта на граблю - mschap, сконфигуренный по мануалу, капризничал и отказывался работать, руглся примерно следующим образом:

Код: Выделить всё

rad_recv: Access-Request packet from host 192.168.255.115 port 32895, id=23, length=145
        Service-Type = Framed-User
        Framed-Protocol = PPP
        User-Name = "test"
        MS-CHAP-Challenge = 0x0a1c536d84b59c74
        MS-CHAP-Response = 0xcd010000000000000000000000000000000000000000000000009a2cf11bd4dc6062182e6cecd9daeab8e40ef9656de6227f
        Calling-Station-Id = "192.168.255.75"
        NAS-Identifier = "pptp-nas "
        NAS-Port = 0
+- entering group authorize
++[preprocess] returns ok
Exec-Program output: User-Password == "testpass"
Exec-Program-Wait: value-pairs: User-Password == "testpass"
Exec-Program: returned: 0
++[pre_auth] returns ok
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
++[mschap] returns ok
    users: Matched entry DEFAULT at line 61
++[files] returns ok
Exec-Program output: Session-Timeout = 2021075, PPPD-Upstream-Speed-Limit = 12288, Acct-Interim-Interval  =  60, Framed-IP-Address = 10.250.1.15, Framed-IP-Netmask = 255.255.255.255, PPPD-Downstream-Speed-Limit = 12288,
Exec-Program-Wait: value-pairs: Session-Timeout = 2021075, PPPD-Upstream-Speed-Limit = 12288, Acct-Interim-Interval  =  60, Framed-IP-Address = 10.250.1.15, Framed-IP-Netmask = 255.255.255.255, PPPD-Downstream-Speed-Limit = 12288,
Exec-Program: returned: 0
++[myauth] returns ok
  rad_check_password:  Found Auth-Type mschap
auth: type "MSCHAP"
+- entering group MS-CHAP
  rlm_mschap: No Cleartext-Password configured.  Cannot create LM-Password.
  rlm_mschap: No Cleartext-Password configured.  Cannot create NT-Password.
  rlm_mschap: Told to do MS-CHAPv1 with NT-Password
  rlm_mschap: FAILED: No NT/LM-Password.  Cannot perform authentication.
  rlm_mschap: MS-CHAP-Response is incorrect.
++[mschap] returns reject
auth: Failed to validate the user.
Login incorrect: [test/<via Auth-Type = mschap>] (from client routernet port 0 cli 192.168.255.75)
  Found Post-Auth-Type Reject
+- entering group REJECT
Exec-Program output:
Exec-Program: returned: 0
++[post_auth] returns ok
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.2 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 23 to 192.168.255.115 port 32895
        Session-Timeout = 2021075
        PPPD-Upstream-Speed-Limit = 12288
        Acct-Interim-Interval = 60
        Framed-IP-Address = 10.250.1.15
        Framed-IP-Netmask = 255.255.255.255
        PPPD-Downstream-Speed-Limit = 12288
        MS-CHAP-Error = "\315E=691 R=1"

Подумав, заменил "==" на "=" в куске кода:

Код: Выделить всё

  $self->query($db, "SELECT DECODE(password, '$CONF->{secretkey}') FROM users WHERE id='$login';");
  if ($self->{TOTAL} > 0) {
        my $list = $self->{list}->[0];
    my $password = $list->[0];
    $self->{'RAD_CHECK'}{'User-Password'}="$password";
    print "User-Password == \"$password\"\n";
    return 0;
   }

Получил вроде как рабочий mschap, но ругается на то, что вместо User-Password нужно Cleartext-Password.

Соответственно вопрос: а каким образом "это" работало у других пользователей?

[ran]

ну видимо для радиус1 нада

Код: Выделить всё

print "User-Password == \"$password\"";

а для радиус2

Код: Выделить всё

print "Cleartext-Password = \"$password\"";

[NiTr0]

Как же тогда на радиусе 2 оно у кого-то работало?

[ran]

Как же тогда на радиусе 2 оно у кого-то работало?

да так и работало... после правки этой строчки

юзер-пассворд в радиус2 больше не поддерживается... нафига они так извратились и какая нафиг разница - хз

эту хрень уже давно обсасывали... и чо Автор до сих пор не вставил проверку версии радиуса и соответственно ветвление - тоже хз

[NiTr0]

эту хрень уже давно обсасывали... и чо Автор до сих пор не вставил проверку версии радиуса и соответственно ветвление - тоже хз

Думается, прошла бы и просто пара разных аттрибутов - радиус выбрал бы нужный ему. Хотя - не экспериментировал...

[~AsmodeuS~]

$conf{RADIUS2}=1;

[ran]

$conf{RADIUS2}=1;

это тоже небось в 0.5?

[~AsmodeuS~]

если не ошибаюсь то ещё в 0.42 сделал

[NiTr0]

Нет, таки в 0.5 Я сейчас на 0.42 - патчил код, никакой проверки версии не увидел...

[~AsmodeuS~]

нужно релиз кандидат вижу делать, а то никак не могу дойти до релиза

[mnk]

$conf{RADIUS2}=1;

Так может в config.pl эту строчку добавите? И в INSTALL и INSTALL.ru
А то, если бы не форум, то и не нашел бы.