[Freeradius3 + mysql] radcheck vide

Ap0p0

Bonjour à tous,

Je viens d'installer freeradius + mysql + portail captif pour gérer l'authentification et l'accounting des utilisateurs. Tout fonctionne comme prévu mais je me rends compte que la création d'un nouveau user dans la GUI de Freeradius n'insère pas ce dernier dans radcheck.

De plus, si j'insère manuellement un user dans radcheck, je prends un login fail. Tous les users fontionnels sont insérés dans /usr/local/etc/raddb/users.

Si je lance radiusd en mode debug /usr/local/sbin/radiusd -X, j'ai ce message:

Loading authenticate {…}

Loading authorize {...}

Ignoring "sql" (see raddb/mods-available/README.rst)
Ignoring "ldap" (see raddb/mods-available/README.rst)

Il semble que ce soit bien le problème mais si je lis le README comme c'est gentiment demandé, ça nous aide vraiment pas. Il nous demande de configuré le module sql dans mod-availables/sql et de créer le symlink dans mods-enable. Sauf que dans mods-enable, sql existe déjà. Créé je pense par le package FreeRadius et qui n'a rien à voir avec le module available.

Quelqu'un a déjà eu ce soucis?

Je vous met le log complet de radiusd -X et la conf serveur en PJ.

SI vous avez des questions sur des points plus précis, n'hésitez pas :-)
module_sql.txt
radiusd-X.txt
serveur.txt

jdh

Installer MySQL sur un firewall ? Est ce bien raisonnable ?

ccnet

Me faisant la même réflexion, je pense avoir la réponse.
Il me parait sain que toute l'infrastructure liée au stockage, à la gestion des identités soit en dehors du firewall. Ce qui n’empêche pas celui-ci de pouvoir l'interroger.

Ap0p0

La question n'est pas là mais pour vous répondre quand même, au départ, j'étais partis sur 2 VMs XEN. Tout avait l'air de fonctionner normalement sauf qu'il était impossible de faire du shaping sur les interfaces xn de PfSense ==> rédibitoire

Et puis je suis en phase de test, et comme je n'ai qu'une seule machine à disposition….

jdh

(Pas mieux que ccnet, forcément.)

La question est : un firewall doit être sûr et fiable, de plus il doit répondre vite à son rôle essentiel (=primaire) : le filtrage de paquets, et là on est en dessous de la milliseconde.

Les conséquences évidentes sont :

• pas de virtualisation : 'vol de cycle'
• pas de tâches qui 'occupent' (proc, mémoire, temps) : proxy, base de données, IDS, antivirus, relais mail, …
  Mais doivent rester : vpn (et cryptage) parce que lié au routage et au filtrage, portail captif (authentification extérieure) parce que position naturelle.

Autres exemples :

• le dns local sera assuré par de DC Windows mais le firewall fournira le 'fowarder' dns,
• le dhcp local (LAN) sera assuré par le DC mais le dhcp de WIFI GUEST peut être fourni par le firewall ainsi que le dns (puisqu'il y aura un mur avec le LAN).

Mais bon, pour vous, c'est pour du perso ...
En particulier vos explications n'ont rien à voir avec le problème, pour lequel je ne vois aucune démarche par étape ...