Skript slouží k otestování komunikace mezi RADIUS servery a ověřování klientů pomocí EAP.
Ke stažení https://github.com/CESNET/rad_eap_test
Je závislý na:
eapol_test
dig (v Debian součástí balíku dnsutils)
bc
sed
awk
Kompilace eapol_test (na Debianu není součástí předkompilovaného balíčku wpa_supplicant) je dostupná na GitHub.
./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo' -t 50 -u test_ucet@mujrealm.cz
-H = host
-P = port
-S = sdílené tajemství (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret)
-b = vypíše detaily k certifikátu na Radius serveru
-e = EAP metoda (PEAP | TLS | TTLS | LEAP)
-m = metoda (WPA-EAP | IEEE8021X)
-p = heslo uživatele
-t = timeout
-u = uživatel
Více informací k přepínačům je vypsáno po spuštění rad_eap_test bez přepínačů.
V případě správné funkce je vrácena informace access-accept s informací o certifikátu RADIUS serveru:
access-accept; 0.02 sec |rtt=18ms;;;0;50000 accept=1;0.5:;0:;0;1 RADIUS server certificate information: Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=radius.mujrealm.cz Validity Not Before: Apr 3 09:40:00 2020 GMT Not After: Apr 3 09:40:00 2025 GMT DNS:radius.mujrealm.cz
V případě timeout, nebo jiné chyby lze získat dodatečné informace v logu lokálního RADIUS serveru (pro FreeRadius /var/log/freeradius/radius.log
).
Každý správce eduroamu má k dispozici testovací účet z realmu @admin.eduroam.cz, ten můžete použít k otestování kompletního ověřování přes národní RADIUS.
./rad_eap_test -H localhost -P 1812 -S 'tajemství' -b -e PEAP -m WPA-EAP -p 'test_heslo_admin.eduroam.cz' -t 50 -u test_ucet@admin.eduroam.cz
Pokud proběhne ověření v pořádku, je vrácena informace access-accept s informací o certifikátu admin.eduroam.cz RADIUS serveru:
access-accept; 0.24 sec |rtt=242ms;;;0;50000 accept=1;0.5:;0:;0;1 RADIUS server certificate information: Issuer: C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3 Subject: C=CZ, L=Prague, O=CESNET, CN=admin.eduroam.cz Validity Not Before: Nov 29 00:00:00 2019 GMT Not After: Dec 3 12:00:00 2021 GMT DNS:admin.eduroam.cz
access-reject; 1.02 sec |rtt=1019ms;;;0;50000 accept=1;0.5:;0:;0;1 RADIUS server certificate information: Issuer: CN=eduroam CA 2, O=CESNET CA, DC=cesnet-ca, DC=cz Subject: DC=cz, DC=cesnet-ca, O=CESNET, CN=adamektest.vm.cesnet.cz Validity Not Before: Apr 3 09:40:00 2020 GMT Not After: Apr 3 09:40:00 2025 GMT DNS:adamektest.vm.cesnet.cz
access-reject - chybně zadané heslo uživatele, nebo nefunkční komunikace na portu pro národní radius (2083), více informací poskytne log FreeRADIUS serveru /var/log/freeradius/radius.log
.
timeout; 50.01 sec |rtt=50012ms;;;0;50000 accept=1;0.5:;0:;0;1 Certiticate information was requested, but the certificate was not retrieved.
timeout - chybně vyplněné tajemství nebo jiná příčina, více informací poskytne log FreeRadius serveru /var/log/freeradius/radius.log
Info: Dropping packet without response because of error: Received packet from 127.0.0.1 with invalid Message-Authenticator! (Shared secret is incorrect.)
Chybně zadané -S 'tajemství'. (k nalezení v /etc/freeradius/3.0/clients.conf v sekci client localhost - secret)
Error: Failed opening new proxy socket 'proxy (0.0.0.0, 0) -> home_server (195.113.187.22, 2083)' : Failed connecting socket: Connection timed out
Neodstupná komunikace na portu 2083 s národním RADIUS serverem.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz