Cертификата 802.1

[Rus]

Не знаю в этой теме или в Администрировании нужно спрашивать.

Проблема такая, на нашем предприятии ввели авторизацию в сети с помощью сертификата 802.1. На виндовые машины сертификат установили, а на мою, естественно, нет. Т.е.я остался бз сети.
Какое есть решени?. Адрес выдается по dhcp.Какие еще данные нужны для решения вопроса?

[Stauffenberg]

Проблема такая, на нашем предприятии ввели авторизацию в сети с помощью сертификата 802.1.

802.1 - это группа стандартов. Какой конкретно у Вас?
Например, для 802.1x используется логин и пароль. Никакие сертификаты для этого не нужны.

На виндовые машины сертификат установили, а на мою, естественно, нет. Т.е.я остался бз сети.

Это называется дискриминация

Какое есть решени?. Адрес выдается по dhcp.Какие еще данные нужны для решения вопроса?

Все что получили другие, должны были получить и Вы. Просто, если было сказано, что GNU/Linux в конторе не поддерживается, то возиться с настройками Вы должны будете сами. НО получить данные Вы должны были как и все остальные.

[Bizdelnick]

википедия://802.1
Вы о чём конкретно?
Upd. Опоздал. ☺

[Rus]

802.1 - это группа стандартов. Какой конкретно у Вас?
Например, для 802.1x используется логин и пароль. Никакие сертификаты для этого не нужны.

Да, именно 802.1x, но авторизация происходит не по паролю, а по сертификату. Вроде как используется EAP-TLS.
Это пока все, что я сумел узнать, администратор делится информацией скупо. Куда копать?

Просто, если было сказано, что GNU/Linux в конторе не поддерживается, то возиться с настройками Вы должны будете сами.

Это именно мой случай.

[Bizdelnick]

802.1x

Ну по такому запросу поисковики уже кой-что интересное выдают:
http://www.tldp.org/HOWTO/html_single/8021X-HOWTO/
https://serverfault.com/questions/667234/li...s-wired-network
https://help.ubuntu.com/community/Network80...xAuthentication
https://access.redhat.com/documentation/en-...n_Settings.html (тут — через NetworkManager)

[Stauffenberg]

Да, именно 802.1x, но авторизация происходит не по паролю, а по сертификату. Вроде как используется EAP-TLS.
Это пока все, что я сумел узнать, администратор делится информацией скупо. Куда копать?

Перво-наперво - получить файл с сертификатом

У меня KDE и NetworkManager. Все работает без проблем, но я использую логин и пароль.
Использование сертификата, я думаю, не должно создать проблем:



Если хотите, я могу написать как соединиться при помощи wpa_supplicant.

[Rus]

Да, именно 802.1x, но авторизация происходит не по паролю, а по сертификату. Вроде как используется EAP-TLS.
Это пока все, что я сумел узнать, администратор делится информацией скупо. Куда копать?

Перво-наперво - получить файл с сертификатом

У меня KDE и NetworkManager. Все работает без проблем, но я использую логин и пароль.
Использование сертификата, я думаю, не должно создать проблем:

Если хотите, я могу написать как соединиться при помощи wpa_supplicant.

Спасибо за участие.

Я получил файлик-сертификат с расширением .р12

Да, мне было-бы удобнее через wpa_supplicant, т.к. я десктопами не пользуюсь.

Админ предупредил, что для импорта сертификата нужен будет пароль, который он готов будет ввести.

[Stauffenberg]

Да, мне было-бы удобнее через wpa_supplicant, т.к. я десктопами не пользуюсь.

"Официальные" примеры конфигов можно найти вот тут

Код: Выделить всё

# WPA-EAP, EAP-TTLS with different CA certificate used for outer and inner
# authentication.

#network={
#    ssid="example"
#    key_mgmt=WPA-EAP
#    eap=TTLS
#    # Phase1 / outer authentication
#    anonymous_identity="anonymous@example.com"
#    ca_cert="/etc/cert/ca.pem"
#    # Phase 2 / inner authentication
#    phase2="autheap=TLS"
#    ca_cert2="/etc/cert/ca2.pem"
#    client_cert2="/etc/cer/user.pem"
#    private_key2="/etc/cer/user.prv"
#    private_key2_passwd="password"
#    priority=2
#}

Вот мой конфиг,но я использую логин и пароль:

Код: Выделить всё

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=0
eapol_version=2
ap_scan=0

network={
   key_mgmt=IEEE8021X
   identity="username"
   password="password"
}

[Bizdelnick]

примеры конфигов можно найти вот тут

Или в /usr/share/doc/wpasupplicant/examples/.

[Rus]

Да, мне было-бы удобнее через wpa_supplicant, т.к. я десктопами не пользуюсь.

"Официальные" примеры конфигов можно найти вот тут

Ой, боюсь что для меня нужно разъяснять подробнее.

Создал такой:

Код: Выделить всё

network={
    ssid="work"
    key_mgmt=IEEE8021X
    eap=TLS
#    identity="user@example.com"
#    ca_cert="/etc/cert/ca.pem"
    client_cert="/etc/ca-certificates/file.p12"
#    private_key="/etc/cert/user.prv"
#    private_key_passwd="password"
    eapol_flags=3
}

Пытаюсь подключиться так:

Код: Выделить всё

# wpa_supplicant -c wpa_supplicant.conf -D wired -i eth1
Successfully initialized wpa_supplicant
eth1: Associated with 01:80:02:00:00:03
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
EAP: buildIdentity: identity configuration was not available
eth1: CTRL-REQ-IDENTITY-0:Identity needed for SSID work
eth1: CTRL-EVENT-EAP-FAILURE EAP authentication failed

Если сертификат запароленый, то нужно указывать private_key и private_key_passwd ?
ssid нужен, если у меня не wi-fi?
key_mgmt=IEEE8021X или WPA-EAP?
И почему в конфигах путь всегда /etc/cert/, если такого каталога в системе нет а есть /etc/ca-certificates?

Короче, не соображаю в этой теме.

[Bizdelnick]

Если я правильно понимаю, должно быть как-то так:

Код: Выделить всё

network={
    ssid="work"
    key_mgmt=IEEE8021X
    eap=TLS
    identity="example.com/computers/yourpc"
#    ca_cert="/etc/cert/ca.pem"
#    client_cert="/etc/ca-certificates/file.p12"
    private_key="/etc/ca-certificates/file.p12"
    private_key_passwd="password"
    eapol_flags=3
}

[Rus]

identity="example.com/computers/yourpc"

Вот этого не пойму. Куда путь? Что за файл?

[Rus]

Если я правильно понимаю, должно быть как-то так:

Код: Выделить всё

network={
    ssid="work"
    key_mgmt=IEEE8021X
    eap=TLS
    identity="example.com/computers/yourpc"
#    ca_cert="/etc/cert/ca.pem"
#    client_cert="/etc/ca-certificates/file.p12"
    private_key="/etc/ca-certificates/file.p12"
    private_key_passwd="password"
    eapol_flags=3
}

С таким конфигом подключение проходит так:

Код: Выделить всё

# wpa_supplicant -c wpa_supplicant.conf -D wired -i eth1
Successfully initialized wpa_supplicant
eth1: Associated with 01:80:02:00:00:03
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ооо/OU=оо/CN=Freeradius Root'
eth1: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
eth1: CTRL-EVENT-CONNECTED - Connection to 01:80:02:00:00:03 completed [id=0 id_str=]

Вроде зависает на последней строке. Адрес по DHCP не выделяется. сети нет, к сожалению.

[Stauffenberg]

Адрес по DHCP не выделяется. сети нет, к сожалению.

а если после этого вручную сделать запрос к dhcp?

[Rus]

Адрес по DHCP не выделяется. сети нет, к сожалению.

а если после этого вручную сделать запрос к dhcp?

/etc/init.d/networking restart делал, не получает адрес.
ifdown eth1 - ifup eth1 тоже делал, не получает адрес.

[Stauffenberg]

Адрес по DHCP не выделяется. сети нет, к сожалению.

а если после этого вручную сделать запрос к dhcp?

/etc/init.d/networking restart делал, не получает адрес.

Это алиас на systemd? Или какой у Вас debian?

ifdown eth1 - ifup eth1 тоже делал, не получает адрес.

Я сейчас не скажу какой именно dhcp клиент используется в debian. Попробуйте dhcpd eth1.

[Rus]

Debian Jessie

Код: Выделить всё

# ifup eth1
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth1/00:04:23:00:13:52
Sending on   LPF/eth1/00:04:23:00:13:52
Sending on   Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 10
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 18
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 14
No DHCPOFFERS received.
No working leases in persistent database - sleeping.

Админ сказал что авторизацию я прохожу, но не правильно - не передается параметр "common name" из сертификата.

[Bizdelnick]

не передается параметр "common name"

Вероятно, его нужно прописать в identity.

[Rus]

не передается параметр "common name"

Вероятно, его нужно прописать в identity.

Не получается.
Админ говорит, что этот параметр должен передаваться из сертификата.
Хочу попробовать networkmanager.
Установил. Как его запустить?

[Bizdelnick]

Админ говорит, что этот параметр должен передаваться из сертификата.

По идее — да. Но раз не передаётся, значит его нужно прописать где-то ещё. identity — обязательный параметр, как он используется и используется ли вообще в данном случае — не вполне ясно, но по одной из приведённых мной выше ссылок в нём прописано нечто похожее на идентификатор машины в сети.
Или, как вариант, возможно, надо вытащить из файла *.p12 сертификат с ключом и положить их отдельно. Хотя, судя по комментариям в конфиге, на который дал ссылку Stauffenberg, и так должно работать.

Хочу попробовать networkmanager.
Установил. Как его запустить?

Это такая дрянь, которая сама всегда запускается. Обычно встаёт другой вопрос — как его убить. ☺

[Rus]

По идее — да. Но раз не передаётся...

Можно сделать вывод, что wpa_supplicant работает с сертификатом не корректно?
Или какие-то еще параметры могут влиять?
Какие пути решения еще есть?

[Bizdelnick]

Можно сделать вывод, что wpa_supplicant работает с сертификатом не корректно?

Он бы ругнулся, если бы что-то было не так. Посмотрите, что он пишет в лог (в какой именно лог он пишет — я не в курсе).
И спросите у админа, что именно приходит вместо common name. То, что прописано в identity, или что-то другое?

[Rus]

И спросите у админа, что именно приходит вместо common name. То, что прописано в identity, или что-то другое?

Админ говорит, что не передается ничего.

Логов, я так понял, нет, но можно добавить -dd:

Код: Выделить всё

#wpa_supplicant -c wpa_supplicant.conf -D wired -i eth1 -dd
wpa_supplicant v2.3
random: Trying to read entropy from /dev/random
Successfully initialized wpa_supplicant
Initializing interface 'eth1' conf 'wpa_supplicant.conf' driver 'wired' ctrl_interface 'N/A' bridge 'N/A'
Configuration file 'wpa_supplicant.conf' -> '/home/ruslan/wpa_supplicant.conf'
Reading configuration file '/home/ruslan/wpa_supplicant.conf'
Line: 22 - start of a new network block
ssid - hexdump_ascii(len=3):
     7a 61 7a                                          ooo
key_mgmt: 0x8
eap methods - hexdump(len=16): 00 00 00 00 0d 00 00 00 00 00 00 00 00 00 00 00
identity - hexdump_ascii(len=6):
     63 69 74 31 31 31                                 compik
private_key - hexdump_ascii(len=35):
     2f 65 74 63 2f 63 61 2d 63 65 72 74 69 66 69 63   /etc/ca-certific
     61 74 65 73 2f 63 69 74 31 31 31 2d 6c 69 6e 2e   ates/compik-lin.
     70 31 32                                          p12
private_key_passwd - hexdump_ascii(len=3): [REMOVED]
eapol_flags=3 (0x3)
Priority group 0
   id=0 ssid='ooo'
wpa_driver_wired_init: Added multicast membership with packet socket
Add interface eth1 to a new radio N/A
eth1: Own MAC address: 00:04:00:ae:13:52
eth1: RSN: flushing PMKID list in the driver
eth1: Setting scan request: 0.100000 sec
TDLS: TDLS operation not supported by driver
TDLS: Driver uses internal link setup
eth1: WPS: UUID based on MAC address: 139e6c2e-d57e-00fc-a3a3-9ddb30052d3f
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: Supplicant port status: Unauthorized
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
eth1: Added interface eth1
eth1: State: DISCONNECTED -> DISCONNECTED
random: Got 20/20 bytes from /dev/random
eth1: Using wired authentication - overriding ap_scan configuration
EAPOL: External notification - EAP success=0
EAPOL: External notification - EAP fail=0
EAPOL: External notification - portControl=Auto
eth1: Already associated with a configured network - generating associated event
eth1: Event ASSOC (0) received
eth1: Association info event
FT: Stored MDIE and FTIE from (Re)Association Response - hexdump(len=0):
eth1: State: DISCONNECTED -> ASSOCIATED
eth1: Associated to a new BSS: BSSID=01:80:c2:00:00:03
eth1: Select network based on association information
eth1: Network configuration found for the current AP
eth1: WPA: clearing AP WPA IE
eth1: WPA: clearing AP RSN IE
eth1: WPA: clearing own WPA/RSN IE
eth1: Failed to get scan results
EAPOL: External notification - EAP success=0
EAPOL: External notification - EAP fail=0
EAPOL: External notification - portControl=Auto
eth1: Associated with 01:80:c2:00:00:03
eth1: WPA: Association event - clear replay counter
eth1: WPA: Clear old PTK
TDLS: Remove peers on association
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
EAPOL: External notification - portEnabled=1
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: SUPP_BE entering state IDLE
EAP: EAP entering state INITIALIZE
EAP: EAP entering state IDLE
eth1: Cancelling scan request
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=4): 01 01 00 00
eth1: RX EAPOL from 00:1a:c1:f8:7e:40
RX EAPOL - hexdump(len=46): 01 00 00 05 01 11 00 05 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
EAPOL: Received EAP-Packet frame
EAPOL: SUPP_PAE entering state RESTART
EAP: EAP entering state INITIALIZE
EAP: EAP entering state IDLE
EAPOL: SUPP_PAE entering state AUTHENTICATING
EAPOL: SUPP_BE entering state REQUEST
EAPOL: getSuppRsp
EAP: EAP entering state RECEIVED
EAP: Received EAP-Request id=17 method=1 vendor=0 vendorMethod=0
EAP: EAP entering state IDENTITY
eth1: CTRL-EVENT-EAP-STARTED EAP authentication started
EAP: Status notification: started (param=)
EAP: EAP-Request Identity data - hexdump_ascii(len=0):
EAP: using real identity - hexdump_ascii(len=6):
     63 69 74 31 31 31                                 compik
EAP: EAP entering state SEND_RESPONSE
EAP: EAP entering state IDLE
EAPOL: SUPP_BE entering state RESPONSE
EAPOL: txSuppRsp
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=15): 01 00 00 0b 02 11 00 0b 01 63 69 74 31 31 31
EAPOL: SUPP_BE entering state RECEIVE
eth1: RX EAPOL from 00:1a:c1:f8:7e:40
RX EAPOL - hexdump(len=46): 01 00 00 06 01 12 00 06 0d 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
EAPOL: Received EAP-Packet frame
EAPOL: SUPP_BE entering state REQUEST
EAPOL: getSuppRsp
EAP: EAP entering state RECEIVED
EAP: Received EAP-Request id=18 method=13 vendor=0 vendorMethod=0
EAP: EAP entering state GET_METHOD
eth1: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=13
EAP: Status notification: accept proposed method (param=TLS)
EAP: Initialize selected EAP method: vendor 0 method 13 (TLS)
TLS: using phase1 config options
TLS: Successfully parsed PKCS12 data
TLS: Got certificate from PKCS12: subject='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=compik-lin'
TLS: Got private key from PKCS12
OpenSSL: Reading PKCS#12 file --> OK
SSL: Private key loaded successfully
eth1: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
EAP: EAP entering state METHOD
SSL: Received packet(len=6) - Flags 0x20
EAP-TLS: Start
SSL: (where=0x10 ret=0x1)
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:before/connect initialization
OpenSSL: TX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=194): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
SSL: (where=0x1002 ret=0xffffffff)
SSL: SSL_connect:error in unknown state
SSL: SSL_connect - want more data
SSL: 199 bytes pending from ssl_out
SSL: 199 bytes left to be sent out (of total 199 bytes)
EAP: method process -> ignore=FALSE methodState=MAY_CONT decision=FAIL eapRespData=0xb91885c8
EAP: EAP entering state SEND_RESPONSE
EAP: EAP entering state IDLE
EAPOL: SUPP_BE entering state RESPONSE
EAPOL: txSuppRsp
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=209): 01 00 00 cd 02 12 00 cd 0d 00 16 03 01 00 c2 01 00 00 be 03 01 22 51 42 3f 33 b6 a7 58 45 83 db 81 81 12 6b 85 4c 14 92 7d 04 b9 7e fc b8 f4 08 b4 b5 ed 75 bf 00 00 50 c0 14 c0 0a 00 39 00 38 00 88 00 87 c0 0f c0 05 00 35 00 84 c0 13 c0 09 00 33 00 32 00 9a 00 99 00 45 00 44 c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0c c0 02 00 05 00 04 c0 12 c0 08 00 16 00 13 c0 0d c0 03 00 0a 00 15 00 12 00 09 00 ff 01 00 00 45 00 0b 00 04 03 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 19 00 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 08 00 06 00 07 00 14 00 15 00 04 00 05 00 12 00 13 00 01 00 02 00 03 00 0f 00 10 00 11 00 0f 00 01 01
EAPOL: SUPP_BE entering state RECEIVE
eth1: RX EAPOL from 00:1a:c1:f8:7e:40
RX EAPOL - hexdump(len=1028): 01 00 04 00 01 13 04 00 0d c0 00 00 07 c4 16 03 01 00 31 02 00 00 2d 03 01 56 4a f1 3d 45 e4 22 df 15 f6 b4 d7 3b d3 c1 30 ca dd e0 ae cc 4f 8b bd c4 05 80 f0 9c b0 6f b0 00 00 39 00 00 05 ff 01 00 01 00 16 03 01 05 7b 0b 00 05 77 00 05 74 00 02 5b 30 82 02 57 30 82 01 c0 a0 03 02 01 02 02 01 01 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 30 20 17 0d 31 31 31 32 30 35 31 32 35 37 34 39 5a 18 0f 32 31 31 31 31 31 31 31 31 32 35 37 34 39 5a 30 65 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 18 30 16 06 03 55 04 03 13 0f 46 72 65 65 72 61 64 69 75 73 20 52 6f 6f 74 30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 81 8d 00 30 81 89 02 81 81 00 aa f3 8e 7d bb 54 77 a1 ee b4 cb c1 7d 8b 84 32 37 12 43 42 ed be 15 ef ca 08 22 e5 aa 34 19 95 66 d1 1b 9c 96 82 4a 28 ef 3e 19 83 da 34 dc fe 3a 5b 97 39 62 c8 54 e0 f9 ad 05 03 31 09 48 53 3e 33 38 95 e7 00 dc 08 24 6c 75 52 66 ca f8 ad dc 39 08 ae d9 af fa f0 11 96 d2 8a 57 57 73 9c 90 b7 8d c8 be 5b 71 1b 21 51 71 90 ba f3 26 36 bd fe 30 0e 8f af 5d bc 90 33 1e ef 67 9f 0f 29 02 03 01 00 01 a3 17 30 15 30 13 06 03 55 1d 25 04 0c 30 0a 06 08 2b 06 01 05 05 07 03 01 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 03 81 81 00 87 5d 3f f5 0e 12 47 27 5e 72 d0 b8 ca d2 c8 54 a3 98 34 9f d2 c2 4b fe ff 3a 6a 8e 7e 0e f7 c7 fc f5 97 54 4d 28 96 f6 57 69 28 0d 6f 88 25 a4 63 d9 0c bc bf 93 d4 04 e6 68 64 c6 a4 d9 b4 1a 55 eb c9 ce ba c7 88 0c fd c4 7d 02 be b4 b2 dc 5a 96 09 61 6b 50 34 29 31 df 66 46 e6 fe 86 20 15 b3 87 83 f1 10 58 2e 39 0b 9e 30 89 e7 27 e8 25 dc 03 84 9e f2 3d e1 23 d4 69 c6 af 6b cc f9 00 03 13 30 82 03 0f 30 82 02 78 a0 03 02 01 02 02 09 00 c9 84 b9 56 6b d8 fe 99 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 30 20 17 0d 31 31 31 32 30 35 31 32 35 37 33 32 5a 18 0f 32 31 31 31 31 31 31 31 31 32 35 37 33 32 5a 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 81 8d 00 30 81 89 02 81 81 00 cf 0f af 1f f0 04 1c 7b d6 c9 6b cc f1 ec 62 4c 94 2d 7f ae ae 4b 3c 10 61 e8 98 d5 34 ff 70 79 23 14 63
EAPOL: Received EAP-Packet frame
EAPOL: SUPP_BE entering state REQUEST
EAPOL: getSuppRsp
EAP: EAP entering state RECEIVED
EAP: Received EAP-Request id=19 method=13 vendor=0 vendorMethod=0
EAP: EAP entering state METHOD
SSL: Received packet(len=1024) - Flags 0xc0
SSL: TLS Message Length: 1988
SSL: Need 974 bytes more input data
SSL: Building ACK (type=13 id=19 ver=0)
EAP: method process -> ignore=FALSE methodState=MAY_CONT decision=FAIL eapRespData=0xb9178530
EAP: EAP entering state SEND_RESPONSE
EAP: EAP entering state IDLE
EAPOL: SUPP_BE entering state RESPONSE
EAPOL: txSuppRsp
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=10): 01 00 00 06 02 13 00 06 0d 00
EAPOL: SUPP_BE entering state RECEIVE
eth1: RX EAPOL from 00:1a:c1:f8:7e:40
RX EAPOL - hexdump(len=988): 01 00 03 d8 01 14 03 d8 0d 80 00 00 07 c4 ee 3c ed b6 ee 77 ba 44 f4 0f a0 d3 15 43 3c 55 5e 29 75 86 c4 10 a5 51 30 65 e7 cd 09 a7 81 aa 86 e8 d8 f9 bb b5 a5 2b b2 be d6 be da c5 b8 66 38 3d 49 a2 20 bf 1b 3a a8 74 0f 5f c8 62 32 c9 06 ab c3 42 e3 31 d5 f1 0e af c9 41 69 65 22 8e 9b 34 fe ad d1 3e cf af 33 58 ce a5 a7 02 03 01 00 01 a3 81 c8 30 81 c5 30 1d 06 03 55 1d 0e 04 16 04 14 d4 da 43 ea d3 a6 60 65 82 cc 2e 8a c8 2a ff 51 ea bc 96 05 30 81 95 06 03 55 1d 23 04 81 8d 30 81 8a 80 14 d4 da 43 ea d3 a6 60 65 82 cc 2e 8a c8 2a ff 51 ea bc 96 05 a1 67 a4 65 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 82 09 00 c9 84 b9 56 6b d8 fe 99 30 0c 06 03 55 1d 13 04 05 30 03 01 01 ff 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 03 81 81 00 cd 89 9e e2 78 7d 06 6d 8c 4e 85 64 96 88 80 a6 39 ee 5b fb d5 59 1d 00 67 af 62 e6 c0 93 d2 59 ba c5 2b 4d 09 71 1c 43 2e 97 4c f9 5d f8 e5 e9 f1 86 93 2c c3 f6 89 1d 1d 4e 86 a0 2d b0 91 a8 dd 46 c6 7a 24 61 1a 39 f1 99 f0 72 eb c1 76 a9 83 d3 5f f9 5b 2f 6c 04 a3 f0 7d 69 ee cc bd 57 a9 4b 52 e0 24 3e 77 de 1b f7 7e c9 78 b7 71 9c 5a 50 97 32 be 5d 89 42 4d 26 2b 9e 3f e8 e9 32 16 03 01 01 8d 0c 00 01 89 00 80 fd b9 5e fc 00 1b 33 dd 74 d1 2b bb ad 4e 24 79 05 60 5e c6 37 02 fc 69 f1 bf ae a4 e4 5f e2 76 8b 00 73 d2 dc 90 0f eb 19 e7 fc df 37 16 28 64 62 f8 d2 52 b0 d9 37 fd 04 0d 33 e0 04 dd c1 be c2 ba 42 5f 42 60 84 7b e8 14 4d 0a df 19 e9 46 f8 e1 0f ca bf cf 67 e3 49 cd a6 f7 04 62 a0 be 6d 87 6a 16 b2 99 09 50 d7 e6 df 94 31 1a 0c c6 26 92 26 81 99 0c 09 e5 86 6d 11 31 3b db f0 d3 00 01 02 00 80 0b 8f a0 af 1e 2d 57 c4 87 ae da d2 66 1f 46 74 54 db 38 a8 fa e5 e5 d1 68 ef 20 0f 15 d7 99 c4 08 2f 2d 68 b6 25 ba de 37 42 dc 37 47 9b 27 71 c1 e2 e2 fb f7 d6 1e bd 82 ca 01 42 ca f2 0e 14 f1 37 1d 19 cf 1b 38 e5 f7 9d 93 25 d5 29 cd b2 30 26 2c e2 f3 4b 1b 50 1b ae 91 99 f5 d6 de 6d 8d 79 e4 2e 60 61 77 c6 d6 64 7d 72 2d e5 e3 d3 be d2 13 88 8a d8 c4 4c 35 b5 33 fe 2d a3 15 a1 00 80 3e b4 f6 4e 92 c9 b6 a2 08 55 2c 5a 0c 54 ec 8e d1 6d cc a7 68 66 99 aa d2 60 e2 ca 61 ae d5 15 22 2e f0 3f 33 38 5c cd 19 83 eb a1 5d 46 3d eb 44 eb 36 85 98 20 34 fc c1 06 65 ae 3d 06 50 77 0a de fe 22 ed 98 4f 7e 9e 74 8f 6c 01 ad ac a6 bc a7 5c 12 03 07 c5 bf a7 f2 32 11 05 46 30 92 e5 99 5e ca c2 0f 9e 32 e0 b5 07 86 f6 e4 72 36 6a ef fb a8 c5 b0 5f a6 1c 49 30 f7 c8 54 d8 a4 16 03 01 00 77 0d 00 00 6f 05 03 04 01 02 40 00 67 00 65 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 0e 00 00 00
EAPOL: Received EAP-Packet frame
EAPOL: SUPP_BE entering state REQUEST
EAPOL: getSuppRsp
EAP: EAP entering state RECEIVED
EAP: Received EAP-Request id=20 method=13 vendor=0 vendorMethod=0
EAP: EAP entering state METHOD
SSL: Received packet(len=984) - Flags 0x80
SSL: TLS Message Length: 1988
OpenSSL: RX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=49): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: RX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=1403): [REMOVED]
TLS: tls_verify_cb - preverify_ok=1 err=19 (self signed certificate in certificate chain) ca_cert_verify=0 depth=1 buf='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius CA'
EAP: Status notification: remote certificate verification (param=success)
TLS: tls_verify_cb - preverify_ok=1 err=19 (self signed certificate in certificate chain) ca_cert_verify=0 depth=1 buf='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius CA'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius CA'
EAP: Status notification: remote certificate verification (param=success)
TLS: tls_verify_cb - preverify_ok=1 err=19 (self signed certificate in certificate chain) ca_cert_verify=0 depth=0 buf='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius Root'
eth1: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=Freeradius Root'
EAP: Status notification: remote certificate verification (param=success)
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: RX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=397): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: RX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=115): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: RX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=4): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: TX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=609): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: TX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=134): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: TX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=134): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: TX ver=0x301 content_type=20
OpenSSL: Message - hexdump(len=1): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
OpenSSL: TX ver=0x301 content_type=22
OpenSSL: Message - hexdump(len=16): [REMOVED]
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
SSL: (where=0x1001 ret=0x1)
SSL: SSL_connect:unknown state
SSL: (where=0x1002 ret=0xffffffff)
SSL: SSL_connect:error in unknown state
SSL: SSL_connect - want more data
SSL: 951 bytes pending from ssl_out
SSL: 951 bytes left to be sent out (of total 951 bytes)
EAP: method process -> ignore=FALSE methodState=MAY_CONT decision=FAIL eapRespData=0xb9188a48
EAP: EAP entering state SEND_RESPONSE
EAP: EAP entering state IDLE
EAPOL: SUPP_BE entering state RESPONSE
EAPOL: txSuppRsp
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=961): 01 00 03 bd 02 14 03 bd 0d 00 16 03 01 02 61 0b 00 02 5d 00 02 5a 00 02 57 30 82 02 53 30 82 01 bc a0 03 02 01 02 02 02 04 a5 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 63 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 16 30 14 06 03 55 04 03 13 0d 46 72 65 65 72 61 64 69 75 73 20 43 41 30 20 17 0d 31 35 31 31 31 33 30 36 34 38 34 33 5a 18 0f 32 31 31 35 31 30 32 30 30 36 34 38 34 33 5a 30 60 31 0b 30 09 06 03 55 04 06 13 02 55 41 31 0b 30 09 06 03 55 04 08 13 02 5a 50 31 13 30 11 06 03 55 04 07 13 0a 5a 61 70 6f 72 6f 73 68 79 65 31 0c 30 0a 06 03 55 04 0a 13 03 5a 41 5a 31 0c 30 0a 06 03 55 04 0b 13 03 4f 49 54 31 13 30 11 06 03 55 04 03 13 0a 63 69 74 31 31 31 2d 6c 69 6e 30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 81 8d 00 30 81 89 02 81 81 00 b1 1f 28 9d 0b e1 3b 9e de f5 92 93 f6 10 51 19 61 ea fe 30 12 15 5d 3b e7 57 7f c1 91 16 f9 b8 84 76 4b 48 83 2e 77 30 8b 67 45 89 43 53 40 54 14 b4 9a a5 55 10 f7 99 d0 13 fd 5f 1f e5 69 96 22 d4 ca f1 60 54 dc 70 27 a4 ec bb 9a 02 eb d5 55 e9 00 dc 4f b3 72 30 32 34 6f f1 c1 b7 16 66 bf 74 68 40 d7 c0 28 0b fc 04 fb ae 34 d8 be 04 6a 56 31 7f 62 22 6b 01 76 06 4e 7d f9 66 85 2b 02 03 01 00 01 a3 17 30 15 30 13 06 03 55 1d 25 04 0c 30 0a 06 08 2b 06 01 05 05 07 03 02 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 03 81 81 00 3e 16 ec 12 43 75 66 d0 a6 d1 3b 97 5a ef ae 51 34 a4 fb a1 67 9e 4c 3a a8 ea 5f eb 8b b3 45 2d 11 9c a0 30 8c 28 a5 0d fd e7 8b 29 e0 b7 62 2a f8 c8 01 13 a2 2d b1 68 0a d8 57 76 e7 73 ac 96 38 e8 ca 33 c9 cf 94 fb 57 f9 29 00 43 fc ef 0f d5 19 4c 25 df b9 76 d7 b7 b1 4d 20 17 71 50 27 dc 86 9e 0e bb 01 65 b2 8c 9b b2 ee cf 3f 27 e4 67 f7 ba 70 0b 74 21 6f 3c 20 99 db aa ae d4 a6 16 03 01 00 86 10 00 00 82 00 80 79 90 21 10 14 ac dd c7 6e d3 92 65 a3 64 e2 4b eb be 6b a8 fe c1 c4 a0 ae e2 fc d2 c2 c8 24 11 87 fd 20 97 45 8a b8 cf 64 ac 1c 2f 10 74 f7 f5 fe 20 2e 84 7f 86 f3 e7 8f da 48 85 b5 8e 9f 66 ac ce b3 6e da f6 1e c6 ef b2 46 92 1b f6 34 68 4a 54 5a 4c 25 b0 0c fa 67 f4 af 98 f4 0e f7 4a da 20 fb 9d a7 85 b5 45 4a 4a 34 d3 23 d3 c6 6f df c6 31 3a d5 ae a5 bc 38 a7 72 4a 8f df a5 98 16 03 01 00 86 0f 00 00 82 00 80 7b 84 18 11 6a 64 97 c7 20 0e 53 9f 04 6d d3 8e d5 04 47 1a 40 79 7c 96 e9 c6 84 03 3f 00 99 4d a3 ba d7 f7 95 d7 2f 44 86 dc 4f d0 e2 86 37 63 43 c4 3c 58 6c ab 0a 8f 67 c7 0e e8 e6 af 6f f6 07 75 d7 c5 a7 89 0d 1d 67 88 0d 0c 7f e7 5b 71 e9 08 3a e8 12 21 e1 cc 74 8b f5 64 d5 ce 7d e0 96 dd f5 7c d4 bb 7e 1d 09 c8 fa 3c dc 83 f0 a5 63 ef dc 81 1b 28 fc 4f 3f 7f 4d 82 0e bb aa e1 14 03 01 00 01 01 16 03 01 00 30 3d 77 64 94 12 44 f8 39 16 a3 ef 9d c6 02 68 6f 6e 10 36 19 a6 b0 e5 fc e6 3d be 0b 30 b3 38 7d 35 2f cc 6c 78 b6 aa d0 67 c3 df c8 89 12 89 81
EAPOL: SUPP_BE entering state RECEIVE
eth1: RX EAPOL from 00:1a:c1:f8:7e:40
RX EAPOL - hexdump(len=73): 01 00 00 45 01 15 00 45 0d 80 00 00 00 3b 14 03 01 00 01 01 16 03 01 00 30 ab 42 2d 85 6f 9a 11 ef 12 84 96 aa 95 15 da a0 6e 88 3a a7 87 62 94 72 3f 87 4b 05 e2 d8 84 06 c1 b5 68 e5 c6 d4 2d c6 f1 64 49 86 79 6f d2 9b
EAPOL: Received EAP-Packet frame
EAPOL: SUPP_BE entering state REQUEST
EAPOL: getSuppRsp
EAP: EAP entering state RECEIVED
EAP: Received EAP-Request id=21 method=13 vendor=0 vendorMethod=0
EAP: EAP entering state METHOD
SSL: Received packet(len=69) - Flags 0x8

[Bizdelnick]

Ну по крайней мере прочитать CN из сертификата он смог:

TLS: Got certificate from PKCS12: subject='/C=UA/ST=ZP/L=Zaporoshye/O=ooo/OU=oo/CN=compik-lin'

Да и вообще ошибок не вижу. Тут бы ещё серверный лог глянуть, чтобы понять, что ему не нравится...

[Stauffenberg]

И спросите у админа, что именно приходит вместо common name. То, что прописано в identity, или что-то другое?

Админ говорит, что не передается ничего.

Запускаем tcpdump и смотрим, действительно ли ничего не передается.

[Rus]

Запускаем tcpdump и смотрим, действительно ли ничего не передается.

Я так понял, этот кусок текста интересует.

Код: Выделить всё

12:51:57.598605 EAPOL start (1) v1, len 0
12:51:57.601493 EAP packet (0) v1, len 5
12:51:57.601568 EAP packet (0) v1, len 11
12:51:57.617233 EAP packet (0) v1, len 6
12:51:57.640956 EAP packet (0) v1, len 205
12:51:57.660708 EAP packet (0) v1, len 1024
12:51:57.660749 EAP packet (0) v1, len 6
12:51:57.677447 EAP packet (0) v1, len 984
12:51:57.693499 EAP packet (0) v1, len 957
12:51:57.711428 EAP packet (0) v1, len 69
12:51:57.711770 EAP packet (0) v1, len 6
12:51:57.730167 EAP packet (0) v1, len 4

[Rus]

Если в конфиге, в качестве значения параметра identity подставить то, что передает сертификат в поле сommonName, то все работает.
НО! Наш админ ругается, говорит, что значение должно браться из сертификата, а не прописываться в ручную в параметре identity.

Как заставить программу смотреть в сертификат, или какую сделать запись в identity, что бы бралось значение CN из сертификата?

Или, может есть другая софтина, которая позволит мне авторизоваться на сервере?

[Bizdelnick]

Наш админ ругается, говорит, что значение должно браться из сертификата, а не прописываться в ручную в параметре identity.

Ему не всё ли равно?

Как заставить программу смотреть в сертификат, или какую сделать запись в identity, что бы бралось значение CN из сертификата?

Подозреваю, что никак. Разве что скрипт накать, который будет потрошить сертификат и подставлять значение в конфиг. Но зачем? Что, сертификат каждый день меняться будет, и каждый раз с новым сабжем?