====== rad_eap_test ======
Skript slouží k otestování komunikace mezi RADIUS servery a ověřování klientů pomocí EAP.
Ke stažení ''https://github.com/CESNET/rad_eap_test''
Je závislý na:
eapol_test \\
dig (v Debian součástí balíku dnsutils) \\
bc \\
sed \\
awk \\
Kompilace eapol_test (na Debianu není součástí předkompilovaného balíčku wpa_supplicant) je dostupná na [[https://github.com/CESNET/rad_eap_test#compiling-eapol_test|GitHub]].
===== Testování na lokálním RADIUS serveru s lokálním testovacím účtem: =====
./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo' -t 50 -u test_ucet@mujrealm.cz
-H = host \\
-P = port \\
-S = sdílené tajemství (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret) \\
-b = vypíše detaily k certifikátu na Radius serveru \\
-e = EAP metoda (PEAP | TLS | TTLS | LEAP) \\
-m = metoda (WPA-EAP | IEEE8021X) \\
-p = heslo uživatele \\
-t = timeout \\
-u = uživatel
Více informací k přepínačům je vypsáno po spuštění rad_eap_test bez přepínačů.
V případě správné funkce je vrácena informace access-accept s informací o certifikátu RADIUS serveru:
access-accept; 0.02 sec |rtt=18ms;;;0;50000 accept=1;0.5:;0:;0;1
RADIUS server certificate information:
Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz
Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=radius.mujrealm.cz
Validity
Not Before: Apr 3 09:40:00 2020 GMT
Not After: Apr 3 09:40:00 2025 GMT
DNS:radius.mujrealm.cz
V případě timeout, nebo jiné chyby lze získat dodatečné informace v logu lokálního RADIUS serveru (pro FreeRadius ''/var/log/freeradius/radius.log'').
==== Testování na lokálním radius serveru s cizím účtem testovacím účtem: ====
Každý správce eduroamu má k dispozici [[https://www.eduroam.cz/cs/spravce/aapk/uvod#testovaci_eduroam_ucet|testovací účet]] z realmu @admin.eduroam.cz, ten můžete použít k otestování kompletního ověřování přes národní RADIUS.
./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo_admin.eduroam.cz' -t 50 -u test_ucet@admin.eduroam.cz
Pokud proběhne ověření v pořádku, je vrácena informace access-accept s informací o certifikátu admin.eduroam.cz RADIUS serveru:
access-accept; 0.24 sec |rtt=242ms;;;0;50000 accept=1;0.5:;0:;0;1
RADIUS server certificate information:
Issuer: C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3
Subject: C=CZ, L=Prague, O=CESNET, CN=admin.eduroam.cz
Validity
Not Before: Nov 29 00:00:00 2019 GMT
Not After: Dec 3 12:00:00 2021 GMT
DNS:admin.eduroam.cz
==== Možné chyby, jejich příčiny a odstranění ====
=== Chybové stavy vrácené z FreeRADIUS serveru ===
access-reject; 1.02 sec |rtt=1019ms;;;0;50000 accept=1;0.5:;0:;0;1
RADIUS server certificate information:
Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz
Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=adamektest.vm.cesnet.cz
Validity
Not Before: Apr 3 09:40:00 2020 GMT
Not After: Apr 3 09:40:00 2025 GMT
DNS:adamektest.vm.cesnet.cz
access-reject - chybně zadané heslo uživatele, nebo nefunkční komunikace na portu pro národní radius (2083), více informací poskytne log FreeRADIUS serveru ''/var/log/freeradius/radius.log''.
timeout; 50.01 sec |rtt=50012ms;;;0;50000 accept=1;0.5:;0:;0;1
Certiticate information was requested, but the certificate was not retrieved.
timeout - chybně vyplněné tajemství nebo jiná příčina, více informací poskytne log FreeRadius serveru ''/var/log/freeradius/radius.log''
=== Chyby v log FreeRADIUS serveru: ===
Info: Dropping packet without response because of error: Received packet from 127.0.0.1 with invalid Message-Authenticator! (Shared secret is incorrect.)
Chybně zadané -S 'tajemství'. (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret)
Error: Failed opening new proxy socket 'proxy (0.0.0.0, 0) -> home_server (195.113.187.22, 2083)' : Failed connecting socket: Connection timed out
Neodstupná komunikace na portu 2083 s národním RADIUS serverem.