Использование зашифрованного пароля вместо текстового пароля

Question

Использование зашифрованного пароля вместо текстового пароля

Я пытаюсь настроить систему "горячих точек", используя CoovaChilli и FreeRadius с RADIUSdesk.

Я сделал большую часть этого. Отображается страница входа на портал Captive, но я не могу авторизоваться как пользователь.

Когда я заглянул в логи, Кова Чилли на моем OpenWRT отправила X????MVJ??? ??<? как пароль пользователя.

redir.c: 3854: 0 (Debug) redir_accept: Sending RADIUS request
radius.c: 1316: 0 (Debug) RADIUS client 0.0.0.0:0
redir.c: 2670: 0 (Debug) created radius packet (code=1, id=80, len=37)

redir.c: 2708: 0 (Debug) User password 16 [O��F��hs�
t��3]
redir.c: 2831: 0 (Debug) sending radius packet (code=1, id=80, len=299)

radius.c: 321: 0 (Debug) Allocating RADIUS packet

Я тоже заглянул в журналы freeradius и узнал, что Freeradius расшифровал исходный пароль.

(0) pl_reset_time_for_data:   $RAD_REQUEST{'User-Password'} = &request:User-Password -> 'X????MVJ??? ??<?'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'NAS-IP-Address'} = &request:NAS-IP-Address -> '10.1.0.1'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'NAS-Port'} = &request:NAS-Port -> '5'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Service-Type'} = &request:Service-Type -> 'Login-User'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Framed-IP-Address'} = &request:Framed-IP-Address -> '10.1.0.4'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Called-Station-Id'} = &request:Called-Station-Id -> 'C0-25-E9-07-52-76'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Calling-Station-Id'} = &request:Calling-Station-Id -> 'AC-C3-3A-C0-F5-60'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'NAS-Identifier'} = &request:NAS-Identifier -> 'HUBS_ROOTS_HUB_1_cp_42'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'NAS-Port-Type'} = &request:NAS-Port-Type -> 'Wireless-802.11'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Acct-Session-Id'} = &request:Acct-Session-Id -> '5a6c2ea800000005'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Event-Timestamp'} = &request:Event-Timestamp -> 'Jan 27 2018 07:49:15 UTC'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Message-Authenticator'} = &request:Message-Authenticator -> '0x3a3eb994b712e98f3a49e665e27e4d20'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'NAS-Port-Id'} = &request:NAS-Port-Id -> '00000005'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'WISPr-Location-ID'} = &request:WISPr-Location-ID -> 'isocc=,cc=,ac=,network=Coova,'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'WISPr-Location-Name'} = &request:WISPr-Location-Name -> 'Roots_Daryaganj'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'WISPr-Logoff-URL'} = &request:WISPr-Logoff-URL -> 'http://10.1.0.1:3990/logoff'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'Realm'} = &request:Realm -> 'roots'
(0) pl_reset_time_for_data:   $RAD_REQUEST{'ChilliSpot-Version'} = &request:ChilliSpot-Version -> '1.3.1-svn'
(0) pl_reset_time_for_data:   $RAD_REPLY{'Fall-Through'} = &reply:Fall-Through -> 'Yes'
(0) pl_reset_time_for_data:   $RAD_CHECK{'User-Profile'} = &control:User-Profile -> '1G-1Day'
(0) pl_reset_time_for_data:   $RAD_CHECK{'Cleartext-Password'} = &control:Cleartext-Password -> '<my cleartext password>'

Но при сравнении сервер использует зашифрованный пароль вместо открытого.

# Executing group from file /etc/freeradius/sites-enabled/radiusdesk-plain
(0)   Auth-Type PAP {
(0) pap: Login attempt with password
(0) pap: Comparing with "known good" Cleartext-Password
(0) pap: ERROR: Cleartext password "X????MVJ??? ??<?" does not match "known good" password
(0) pap: Passwords don't match
(0)     [pap] = reject
(0)   } # Auth-Type PAP = reject
(0) Failed to authenticate the user
(0) WARNING: Unprintable characters in the password.  Double-check the shared secret on the server and the NAS!
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/freeradius/sites-enabled/radiusdesk-plain
(0)   Post-Auth-Type REJECT {
(0) attr_filter.access_reject: EXPAND %{User-Name}

2

freeradius radius hotspot coovachilli

Источник

user4207826 27 янв '18 в 08:07

1 ответ

Другие вопросы по тегам freeradius radius hotspot coovachilli

user2117998 27 фев '18 в 02:32 2018-02-27 02:32 · Answer 1 · 2018-02-27 02:32

В RADIUS атрибут User-Password подвергается обратимому шифрованию с использованием общего секретного ключа, известного между NAS (Coova) и сервером RADIUS FreeRADIUS.

Я предполагаю, что Coova отображает вывод этой функции шифрования вместо исходного пароля в виде открытого текста. Что странно... Это может быть сделано из соображений безопасности, так что вам нужно знать общий секретный ключ для расшифровки паролей в журналах.

Что касается того, почему вы все еще получаете зашифрованный вывод, похоже, что общий секрет неверен в Coova или FreeRADIUS. Секрет по умолчанию для запросов от 127.0.0.1 testing123так что, если Coova и FreeRADIUS находятся в одном месте, я бы попытался настроить это в Coova.

Если Coova и FreeRADIUS работают на разных хостах, проверьте секретный ключ, настроенный в raddb/clients.conf соответствует, когда у вас есть в Куве.

Причина, по которой строка меняется каждый раз, заключается в том, что зашифрованный текст создается со случайным компонентом (полем аутентификатора запроса), который изменяется с каждым последующим (непередаваемым) запросом.