Skript slouží k otestování komunikace mezi RADIUS servery a ověřování klientů pomocí EAP.

Ke stažení https://github.com/CESNET/rad_eap_test

Je závislý na:

eapol_test
dig (v Debian součástí balíku dnsutils)
bc
sed
awk

Kompilace eapol_test (na Debianu není součástí předkompilovaného balíčku wpa_supplicant) je dostupná na GitHub.

./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo' -t 50 -u test_ucet@mujrealm.cz

-H = host
-P = port
-S = sdílené tajemství (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret)
-b = vypíše detaily k certifikátu na Radius serveru
-e = EAP metoda (PEAP | TLS | TTLS | LEAP)
-m = metoda (WPA-EAP | IEEE8021X)
-p = heslo uživatele
-t = timeout
-u = uživatel

Více informací k přepínačům je vypsáno po spuštění rad_eap_test bez přepínačů.

V případě správné funkce je vrácena informace access-accept s informací o certifikátu RADIUS serveru:

access-accept; 0.02 sec |rtt=18ms;;;0;50000 accept=1;0.5:;0:;0;1

RADIUS server certificate information:
Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz
Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=radius.mujrealm.cz
Validity
Not Before: Apr  3 09:40:00 2020 GMT
Not After: Apr  3 09:40:00 2025 GMT
DNS:radius.mujrealm.cz

V případě timeout, nebo jiné chyby lze získat dodatečné informace v logu lokálního RADIUS serveru (pro FreeRadius /var/log/freeradius/radius.log).

Každý správce eduroamu má k dispozici testovací účet z realmu @admin.eduroam.cz, ten můžete použít k otestování kompletního ověřování přes národní RADIUS.

./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo_admin.eduroam.cz' -t 50 -u test_ucet@admin.eduroam.cz

Pokud proběhne ověření v pořádku, je vrácena informace access-accept s informací o certifikátu admin.eduroam.cz RADIUS serveru:

access-accept; 0.24 sec |rtt=242ms;;;0;50000 accept=1;0.5:;0:;0;1

RADIUS server certificate information:
Issuer: C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3
Subject: C=CZ, L=Prague, O=CESNET, CN=admin.eduroam.cz
Validity
Not Before: Nov 29 00:00:00 2019 GMT
Not After: Dec  3 12:00:00 2021 GMT
DNS:admin.eduroam.cz

access-reject; 1.02 sec |rtt=1019ms;;;0;50000 accept=1;0.5:;0:;0;1

RADIUS server certificate information:
Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz
Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=adamektest.vm.cesnet.cz
Validity
Not Before: Apr  3 09:40:00 2020 GMT
Not After: Apr  3 09:40:00 2025 GMT
DNS:adamektest.vm.cesnet.cz

access-reject - chybně zadané heslo uživatele, nebo nefunkční komunikace na portu pro národní radius (2083), více informací poskytne log FreeRADIUS serveru /var/log/freeradius/radius.log.

timeout; 50.01 sec |rtt=50012ms;;;0;50000 accept=1;0.5:;0:;0;1

Certiticate information was requested, but the certificate was not retrieved.

timeout - chybně vyplněné tajemství nebo jiná příčina, více informací poskytne log FreeRadius serveru /var/log/freeradius/radius.log

Info: Dropping packet without response because of error: Received packet from 127.0.0.1 with invalid Message-Authenticator!  (Shared secret is incorrect.)

Chybně zadané -S 'tajemství'. (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret)

Error: Failed opening new proxy socket 'proxy (0.0.0.0, 0) -> home_server (195.113.187.22, 2083)' : Failed connecting socket: Connection timed out

Neodstupná komunikace na portu 2083 s národním RADIUS serverem.