Standar IEEE 802.1x Teori dan Implementasi Reza Fuad R (
[email protected])
1 Pendahuluan Pada beberapa tahun belakangan ini, teknologi informasi dan telekomunikasi berkembang dengan pesat. Sebagian besar kegiatan kehidupan, mulai dari pembelian barang sampai catatan harian, semuanya berkembang ke arah internet. Dengan semakin berkembangnya kebutuhan akan informasi dan telekomunikasi, maka diperlukan suatu metode keamanan jaringan yang handal. Bentuk dan implementasi dari keamanan jaringan ada bermacam-macam. Mulai dari yang paling sederhana yaitu dengan mengacak data yang akan dikirimkan, sampai yang mempunyai mekanisme yang rumit seperti kerberos. IEEE 802.1x merupakan salah satu standar keamanan jaringan yang cukup dikenal dan sudah banyak digunakan untuk jaringan wireless. Standar 802.1x merupakan standar keamanan jaringan yang mempunyai banyak mekanisme untuk autentifikasi. Kita dapat memilih diantara beberapa mekanisme tersebut yang sesuai dengan kondisi dan keinginan kita. Mengapa standar 802.1x banyak digunakan untuk wireless? Banyak sekali alasan mengapa keamanan wajib diterapkan di jaringan wireless. Alasan utamanya adalah bahwa jaringan wireless merupakan jaringan yang amat paling tidak aman. Hal tersebut karena arsitekturnya yang harus terus-menerus membroadcast paket bila akan melakukan pertukaran data. Oleh karena itu, dikembangkanlah berbagai macam meka- nisme keamanan jaringan yang secara spesifik digunakan pada jaringan wireless.
2 Apa itu 802.1x ? IEEE 802.1x atau sering disebut juga “port based authentication” merupakan standar yang pada awal rancangannya digunakan pada koneksi dialup. Tetapi pada akhirnya, standar 802.1x digunakan pula pada jaringan IEEE 802 standar. Pada laporan ini, dikhususkan penggunaan standar 802.1x pada jaringan wireless ( 802.11a/b/g ). Berikut merupakan skema dasar dari standar 802.1x.
Gambar 1: Skema 802.1x
1
1. Bila ada WN (Wireless Node) baru yang ingin mengakses suatu LAN, maka access point (AP) akan meminta identitas WN. Tidak diperbolehkan trafik apapun kecuali trafik EAP. WN yang ingin mengakses LAN disebut dengan supplicant. AP pada skema 802.1x merupakan suatu authenticator. Yang dimaksud dengan authenticator disini adalah device yang mengeksekusi apakah suatu supplicant dapat mengakses jaringan atau tidak. Istilah yang terakhir adalah authentication server, yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa Radius server [RFC2865]. EAP, yang merupakan protokol yang digunakan untuk authentifikasi, pada dasarnya dirancang untuk digunakan pada PPP dialup. Untuk lebih jelasnya nanti akan dijelaskan tentang EAP lebih lanjut. 2. Setelah identitas dari WN dikirimkan, proses authentifikasi supplicant pun dimulai. Protokol yang digunakan antara supplicant dan authenticator adalah EAP, atau lebih tepatnya adalah EAP encapsulation over LAN (EAPOL) dan EAP encapsulation over Wireless (EAPOW). Authenticator me-rencapsulation paket dan dikirimkan ke authentication server. Selama proses authentifikasi berlangsung, authenticator hanya merelaykan paket dari supplicant ke authentication server. Setelah semua proses selesai dan authentication server menyatakan bahwa supplicant valid, maka authenticator membuka firewall untuk supplicant tersebut. 3. Setelah proses authentifikasi selesai, supplicant dapat mengakses LAN secara biasa. Lalu mengapa disebut sebagai “port based authentication” ? Penjelasan adalah bahwa authenticator mengkontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama.
Gambar 2: “Port based authentication” skema
Sebelum authentifkasi berhasil, hanya port dengan jenis uncontrolled yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari standar 802.11i.
2
2.1 802.11i 2.1.1 WEP Wired Equivalent Privacy (WEP), merupakan bagian dari 802.11 standar. Sayang sekali WEP dirancang untuk dengan mudah dicrack. Tidak ada mekanisme authentifikasi, dan hanya menggunakan shared key (anda harus memasukkan key untuk bisa berkomunikasi). WEP menggunakan RC4 untuk teknik enkripsinya. Karena banyak sekali kelemahan pada WEP, maka IEEE menetapkan standar baru 802.11i. 802.1x mempunyai peranan penting dalam standar yang baru ini. 2.1.2 802.11i Standar baru 802.11i, disahkan pada bulan Juni 2004, memperbaiki semua kelemahan WEP. Standar tersebut dibagi menjadi tiga ketegori, yaitu 1. Temporary Key Integrity Protocol (TKIP), merupakan solusi sing-kat untuk mengatasi kelemahan WEP. TKIP bisa digunakan pada peralatan 802.11 yang lam (dengan mengupdate driver/firmware-nya). 2. Counter Mode with CBC-MAC Protocol (CCMP) [RFC2610] ada-lah protokol baru dan didesain dari dasar. Protokol tersebut menggunakan AES untuk algoritma enkripsinya. Karena algoritma ini membutuhkan lebih banyak cpu resource, maka peralatan 802.11 yang baru pun diperlukan. Tetapi CCMP juga bisa diemulasi dan diimplementasikan dengan software. 3. 802.1x “Port-Based Network Access Control”, dengan menggunakan TKIP atau CCMP, digunakan untuk authentifikasi. 802.11i mempunyai extended key manajemen, dideskripsikan sebagai berikut. 2.1.3
Key Manajemen
Untuk membuat security policy menggunakan algoritma enkripsi, maka key harus didistribusikan. Standar 802.11i mengimplementasikan cara manajemen derivative key. Untuk lebih jelasnya dapat dilihat pada gambar berikut.
Gambar 3: Manajemen dan distribusi key pada 802.11i
3
Gambar diatas tersebut merupakan mekanisme manajemen dan distribus key pada 802.11i. Penjelasan dari no 1-5 adalah sebagai berikut. 1. Ketika supplicant/Wireless Node (WN) dan Authentication Server (AS) menyelesaikan proses authentifikasi, maka paket terakhir yang dikirimkan AS ke WN adalah Master Key (MK). Setelah MK dikirimkan, maka hanya WN dan AS yang tahu sehingga diperlukan mekanisme selanjutnya. 2. Keduanya (WN dan AS) menurunkan key, yang disebut dengan Pairwise Master Key (PMK), dari Master Key. 3. PMK dipindahkan dari AS ke Authenticator (AP). Hanya WN dan AS yang bisa menurunkan MK ke PMK, dan dengan PMK AP dapat mewakilkan AS untuk keputusan kontrol akses dari suatu WN. PMK merupakan suatu symetric key yang membatasi antara WN dan AP. 4. PMK dan 4-way handshake digunakan antara WN dan AP untuk menurunkan, menyetujui, dan memverifikasi Pairwise Transient Key (PTK). PTK merupakan koleksi dari beberapa operasional key yaitu (a) Key Confirmation Key (KCK). Seperti namanya, key ini digunakan untuk konfirmasi PMK antara WN dan AP. (b) Key Encryption key (KEK), digunakan untuk mendistribusikan Group Transient Key (GTK). (c) Temporal Key 1 & 2 (TK1/TK2), digunakan untuk enkripsi data. 5. KEK dan 4-way handshake digunakan untuk mengirimkan Group Transient Key (GTK) dari AP ke WN. GTK adalah shared key diantara supplicant yang terhubung ke authenticator yang sama dan digunakan untuk men-securekan multicast/broadcast trafik. Berikut merupakan skema dari Pairwise Transient Key (PTK)
Gambar 4: PTK
4
Untuk jaringan wireless ad-hoc/home-user dapat menggunakan mekanisme WPA lainnya yaitu WPA-PSK (WPA Pre Shared Key). Jika WPA-PSK digunakan maka tidak ada mekanisme 802.1x. WPA-PSK biasa disebut juga WPA personal dan WPA yang menggunakan EAP daan radius server disebut WPA Enterprise. 2.1.4 WPA dan WPA2 WPA dan WPA2 merupakan standar yang mempunyai mekanisme authentifikasi yang sama tetapi berbeda untuk teknik enkripsi yang digunakan. Pada WPA, teknik enkripsi yang digunakan adalah RC4 dengan TKIP sedangkan pada WPA2 digunakan teknik enkripsi AES dengan CCMP. Jadi dapat disimpulkan sebagai berikut. • TKIP + 802.1x = WPA(1) • CCMP + 802.1x = WPA2
2.2 EAP Extensible Authentication Protocol (EAP) [RFC3748] merupakan universal authentifikasi framework yang banyak digunakan pada jaringan wireless dan koneksi point-to-point. Meskipun EAP tidak hanya terbatas digunakan pada jaringan wireless LAN dan bisa juga digunakan pada jaringan kabel LAN, tetapi EAP banyak diimplementasikan pada jaringan wireless LAN. EAP merupakan authentifikasi framework dan bukan terbatas pada satu mekanisme authentifikasi. Ada banyak sekali mekanisme authentifikasi yang ada pada EAP (kurang lebih 40 buah) dan tidak semua mekanisme authentifikasi tersebut aman. Berikut akan dijelaskan beberapa mekanisme EAP yang banyak digunakan. 2.2.1 EAP-TLS EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal disupport oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft. 2.2.2 EAP-MD5 EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan ting-kat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictinary attack, tidak ada mutual authentifikasi, dan penurunan kunci; sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2 enterprise. 2.2.3 EAP-TTLS EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server. 2.2.4 PEAP Protected EAP (PEAP), sama seperti EAP-TTLS, memakai TLS-tunel. Sertifikat supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server (AS) dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA Security.
5
2.2.5 EAP-MSCHAPv2 EAP-MSCHAPv2 membutuhkan username dan password untuk melakukan mekanisme authentifikasinya. Secara dasar EAP-MSCHAPv2 merupakan en-kapsulasi EAP dari MSCHAPv2 dan biasanya digunakan pada PEAP-tunel. EAPMSCHAPv2 dikembangkan oleh Microsoft dan merupakan IETF draft.
2.3 RADIUS Remote Authentication Dial-In User Service (RADIUS) [RFC2865] pada awalnya digunakan oleh ISP untuk authentifikasi denganusername/password sebelum dapat berkoneksi dengan jaringan ISP, dan biasanya adalah untuk user dial-up. RADIUS digunakan untuk back-end authentication server pada 802.1x. Selain RADIUS ada beberapa protokol AAA (Authentication, Authorization, Accounting) yang bisa juga digunakan yaitu TACACS, TACACS+, dan DIAMETER.
3 Implementasi 802.1x 3.1 Kebutuhan Sistem Untuk mengimplementasikan suatu sistem 802.1x pada jaringan wireless, maka dibutuhkan spesifikasi sebagai berikut. 1. Access Point (AP) yang mensupport WPA/WPA2 (Contoh: SMCWBR14-G). 2. Wireless Adapter yang mensupport WPA/WPA2 untuk authentifikasi client (supplicant). 3. Satu komputer server untuk back-end authentication server (RADIUS server). Sedangkan untuk OS yang dipakai adalah Linux Debian Etch, dan mekanisme yang akan diterapkan adalah EAP-TLS karena dirasa sangat aman untuk private network.
3.2 Instalasi dan Konfigurasi RADIUS Server RADIUS yang dapat dipakai ada banyak, diantaranya Freeradius, GNU Radius, JRadius, Open Radius, IAS, RadiusNT & RadiusX, dan banyak lagi. Pada implementasi ini dipakai freeradius untuk back-end authentication server-nya. Pada distribusi Debian, sudah disertakan distribusi freeradius. Hanya saja freeradius tersebut tidak mensupport TLS, sehingga kita perlu mengcompile ulang sendiri agar support dengan TLS. Untuk source code freeradius dapat didownload di http://www.freeradius.org. Jangan lupa untuk menginstall libssl-dev agar hasil compalingnya nanti support TLS. apt-get install libssl-dev Untuk mengkompile freeradius seperti biasa dengan perintah ./configure make make install Setelah selesai dan tidak ada error, maka akan dihasilkan distribusi yang akan diinstall ke direktori /usr/local/. Sebelum mengkonfigurasi, coba jalankan perintah berikut. root@tomiko:~# radiusd -X Starting - reading configuration files ... reread_config: reading radiusd.conf Config: including file: /usr/local/etc/raddb/proxy.conf Config: including file: /usr/local/etc/raddb/clients.conf Config: including file: /usr/local/etc/raddb/snmp.conf Config: including file: /usr/local/etc/raddb/eap.conf
6
Config: including file: /usr/local/etc/raddb/sql.conf . . . Module: Loaded radutmp radutmp: filename = "/usr/local/var/log/radius/radutmp" radutmp: username = "%{User-Name}" radutmp: case_sensitive = yes radutmp: check_with_nas = yes radutmp: perm = 384 radutmp: callerid = yes Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests. 3.2.1 Konfigurasi freeradius untuk EAP-TLS Untuk mengkonfigurasi freeradius agar bisa digunakan dengan mekanisme EAP-TLS, maka yang perlu dilakukan pertama kali adalah membuat sertifikat. Pada distribusi freeradius telah disertakan script untuk membuat sertifikat yang dibutuhkan. Script tersebut terdapat di direktori source freeradius, di dalam direktori script. Ada dua script yang bisa dipakai untuk membuat sertifikat, yaitu CA.certs dan CA.all. Untuk CA.certs merupakan script yang tidak interaktif, sehingga kita perlu mengedit konfigurasinya. Sedangkan untuk CA.all, merupakan script yang interaktif. Dan jika ingin membuat sendiri maka dapat membaca di http://www.urbanwireless.co.nz/?page_id=22. Berikut keluaran dari CA.certs. root@tomiko#sh CA.certs ################## create private key name : name-root CA.pl -newcert ################## Generating a 1024 bit RSA private key ................++++++ ......................++++++ writing new private key to ’newreq.pem’ ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ’.’, the field will be left blank. ----Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: Email Address []: ################## create CA use just created ’newreq.pem’ private key as filename CA.pl -newca ################## CA certificate filename (or enter to create) ################## exporting ROOT CA
7
CA.pl -newreq CA.pl -signreq openssl pkcs12 -export -in demoCA/cacert.pem \ -inkey newreq.pem -out root.pem openssl pkcs12 -in root.cer -out root.pem ################## MAC verified OK ################## creating client certificate name : name-clt client certificate stored as cert-clt.pem CA.pl -newreq CA.pl -signreq ################## Generating a 1024 bit RSA private key ...........................................++++++ ..++++++ writing new private key to ’newreq.pem’ ----. . . . dst Dari perintah tersebut akan dihasilkan beberapa file yang cukup penting yaitu cacert.pem dan client_cert.p12 yang keduakeduanya nanti harus diinstall di client/supplicant. Untuk konfigurasi freeradius server, maka ada dua file yang perlu diedit yaitu clients.conf dan eap.conf. Karena freeradius yang dipakai dicompile ulang maka file konfigurasi akan berada di /usr/local/etc/raddb. Berikut merupakan isi dari masing-masing file konfigurasi. File eap.conf eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no tls { private_key_password = rahasiasaya private_key_file = ${raddbdir}/certs/server_keycert.pem certificate_file = ${raddbdir}/certs/server_keycert.pem CA_file = ${raddbdir}/certs/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 include_length = yes } } File: clients.conf client 202.46.129.0/26 { secret = itsnet shortname = itsnet nastype = other }
8
Setelah selesai, maka coba jalankan perintah radiusd -X. Jika tidak ada kesalahan maka konfigurasi freeradius telah selesai dilakukan. root@tomiko:/usr/local/etc/raddb# radiusd -X Starting - reading configuration files ... reread_config: reading radiusd.conf Config: including file: /usr/local/etc/raddb/proxy.conf Config: including file: /usr/local/etc/raddb/clients.conf Config: including file: /usr/local/etc/raddb/snmp.conf Config: including file: /usr/local/etc/raddb/eap.conf Config: including file: /usr/local/etc/raddb/sql.conf . . . . Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests.
3.3 Konfigurasi Access Point Untuk access point digunakan SMCWBR14-G yang mensupport EAP-TLS, dan EAP-MD5. Karena EAP-MD5 tidak disupport lagi secara native oleh Windows XP mulai SP2, maka digunakan EAP-TLS untuk mekanisme authentifikasinya. Yang perlu dikonfigurasi pada access point adalah DHCP (jika access point tersebut support) dan RADIUS server.
Gambar 5: Konfigurasi Radius Server
9
Gambar 6: Konfigurasi DHCP
3.4 Konfigurasi Client (Windows XP ke atas) Untuk mekanisme authentifikasi EAP-TLS, maka pada client perlu dinstall sertifikat yang dibutuhkan yaitu CA certifikat (root.der), client sertifikat (cert-clt.p12) dan server sertifikat (cert-srv.p12). Untuk menginstall CA sertifikat maka tinggal klik saja file root.der dan akan muncul window seperti berikut
10
Gambar 7: CA sertifikat
Window yang muncul akan menginformasikan detail dari sertifikat. Untuk menginstall sertifikat maka klik “Install Certificate”, maka akan muncul konfirmasi bahwa sertifikat tersebut akan diinstall. Klik next dan akan muncul window berikut.
11
Gambar 8: Lokasi Instalasi
Pilih “Place all certificate in the following store” dan klik browse dan pilih “Trusted Root Certification Authorities”. Setelah itu klik next dan akan muncul konfirmasi terakhir tentang sertifikat dan lokasi instalasinya. Klik finish. Untuk instalasi client sertifikat dan server sertifikat juga menggunakan langkah yang sama, hanya saja pada pemilihan lokasi dipilih “Automatically select the certificate store based on the type of certificate”. Setelah semua sertifikat terinstall maka client siap untuk menggunakan WPA dengan mekanisme EAP-TLS.
4 Testbed Dalam tesbed ini akan digunakan laptop IBM i-Series dengan card PCMCIA D-LINK AirPlusG+ DWL-G65+. Untuk dapat maka perlu dikonfigurasi profile wireless LAN yang ada pada client/supplicant. Setelah membuka wireless connection dan membuka “view wireless connection available” maka akan didapatkan tampilan sebagai berikut.
12
Gambar 9: View Wireless Connection Available
Pada gambar tersebut terlihat bahwa security WPA diterapkan pada access point dengan essid SMCass. Selanjutnya pilih “Change advanced settings” lalu pilih tab “Wireless Network”. Pada kolom “Preferred Network” dipilih essid yang akan kita gunakan untuk berhubungan, lalu klik tombol “Properties”.
Gambar 10: Wireless Network
13
Setelah itu akan muncul tampilan seperti pada gambar dibawah. Pada tab “Association” ada pilihan “Network Authentication” dan “Data encryption”. Untuk “Network Authentication” dipilih WPA dan untuk “Data encryption” dipilih TKIP.
Gambar 11: Wireless Network Properties
Selanjutnya memilih sertifikat untuk authentifikasi. Pilih tab “Authentication”, lalu pilih tipe EAP (EAP Type) jenis “Smart Card or other Certificate”. Lalu pilih sertifikat sesuai dengan yang telah diinstall.
Gambar 12: Memilih sertifikat
14
Konfigurasi profile wireless telah selesai. Client/supplicant dapat melakukan authentifikasi dengan metode EAP-TLS. Pada saat melalukan authentifikasi maka akan terlihat gambar sebagai berikut.
Gambar 13: Koneksi
Berikut merupakan keluaran dari radius server yang dipakai. Starting - reading configuration files ... reread_config: reading radiusd.conf Config: including file: /usr/local/etc/raddb/proxy.conf Config: including file: /usr/local/etc/raddb/clients.conf Config: including file: /usr/local/etc/raddb/snmp.conf Config: including file: /usr/local/etc/raddb/eap.conf Config: including file: /usr/local/etc/raddb/sql.conf main: prefix = "/usr/local" main: localstatedir = "/usr/local/var" main: logdir = "/usr/local/var/log/radius" main: libdir = "/usr/local/lib" main: radacctdir = "/usr/local/var/log/radius/radacct" main: hostname_lookups = no main: max_request_time = 30 main: cleanup_delay = 5 main: max_requests = 1024 main: delete_blocked_requests = 0 main: port = 0 main: allow_core_dumps = no main: log_stripped_names = no main: log_file = "/usr/local/var/log/radius/radius.log" main: log_auth = no main: log_auth_badpass = no main: log_auth_goodpass = no main: pidfile = "/usr/local/var/run/radiusd/radiusd.pid" main: user = "(null)" main: group = "(null)" main: usercollide = no main: lower_user = "no" main: lower_pass = "no"
15
main: nospace_user = "no" main: nospace_pass = "no" main: checkrad = "/usr/local/sbin/checkrad" main: proxy_requests = yes proxy: retry_delay = 5 proxy: retry_count = 3 proxy: synchronous = no proxy: default_fallback = yes proxy: dead_time = 120 proxy: post_proxy_authorize = no proxy: wake_all_if_all_dead = no security: max_attributes = 200 security: reject_delay = 1 security: status_server = no main: debug_level = 0 read_config_files: reading dictionary read_config_files: reading naslist Using deprecated naslist file. Support for this will go away soon. read_config_files: reading clients read_config_files: reading realms radiusd: entering modules setup Module: Library search path is /usr/local/lib Module: Loaded exec exec: wait = yes exec: program = "(null)" exec: input_pairs = "request" exec: output_pairs = "(null)" exec: packet_type = "(null)" rlm_exec: Wait=yes but no output defined. Did you mean output=none? Module: Instantiated exec (exec) Module: Loaded expr Module: Instantiated expr (expr) Module: Loaded PAP pap: encryption_scheme = "crypt" Module: Instantiated pap (pap) Module: Loaded CHAP Module: Instantiated chap (chap) Module: Loaded MS-CHAP mschap: use_mppe = yes mschap: require_encryption = yes mschap: require_strong = yes mschap: with_ntdomain_hack = no mschap: passwd = "(null)" mschap: ntlm_auth = "(null)" Module: Instantiated mschap (mschap) Module: Loaded System unix: cache = no unix: passwd = "(null)" unix: shadow = "(null)" unix: group = "(null)" unix: radwtmp = "/usr/local/var/log/radius/radwtmp" unix: usegroup = no unix: cache_reload = 600 Module: Instantiated unix (unix) Module: Loaded eap eap: default_eap_type = "tls" eap: timer_expire = 60 eap: ignore_unknown_eap_types = no
16
eap: cisco_accounting_username_bug = no rlm_eap: Loaded and initialized type md5 rlm_eap: Loaded and initialized type leap gtc: challenge = "Password: " gtc: auth_type = "PAP" rlm_eap: Loaded and initialized type gtc tls: rsa_key_exchange = no tls: dh_key_exchange = yes tls: rsa_key_length = 512 tls: dh_key_length = 512 tls: verify_depth = 0 tls: CA_path = "(null)" tls: pem_file_type = yes tls: private_key_file = "/usr/local/etc/raddb/certs/cert-srv.pem" tls: certificate_file = "/usr/local/etc/raddb/certs/cert-srv.pem" tls: CA_file = "/usr/local/etc/raddb/certs/demoCA/cacert.pem" tls: private_key_password = "whatever" tls: dh_file = "/usr/local/etc/raddb/certs/dh" tls: random_file = "/usr/local/etc/raddb/certs/random" tls: fragment_size = 1024 tls: include_length = yes tls: check_crl = no tls: check_cert_cn = "(null)" tls: cipher_list = "(null)" tls: check_cert_issuer = "(null)" rlm_eap_tls: Loading the certificate file as a chain rlm_eap: Loaded and initialized type tls peap: default_eap_type = "mschapv2" peap: copy_request_to_tunnel = no peap: use_tunneled_reply = no peap: proxy_tunneled_request_as_eap = yes rlm_eap: Loaded and initialized type peap mschapv2: with_ntdomain_hack = no rlm_eap: Loaded and initialized type mschapv2 Module: Instantiated eap (eap) Module: Loaded preprocess preprocess: huntgroups = "/usr/local/etc/raddb/huntgroups" preprocess: hints = "/usr/local/etc/raddb/hints" preprocess: with_ascend_hack = no preprocess: ascend_channels_per_line = 23 preprocess: with_ntdomain_hack = no preprocess: with_specialix_jetstream_hack = no preprocess: with_cisco_vsa_hack = no preprocess: with_alvarion_vsa_hack = no Module: Instantiated preprocess (preprocess) Module: Loaded realm realm: format = "suffix" realm: delimiter = "@" realm: ignore_default = no realm: ignore_null = no Module: Instantiated realm (suffix) Module: Loaded files files: usersfile = "/usr/local/etc/raddb/users" files: acctusersfile = "/usr/local/etc/raddb/acct_users" files: preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users" files: compat = "no" Module: Instantiated files (files) Module: Loaded Acct-Unique-Session-Id
17
acct_unique: key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port" Module: Instantiated acct_unique (acct_unique) Module: Loaded detail detail: detailfile = "/usr/local/var/log/radius/radacct/ %{Client-IP-Address}/detail-%Y%m%d" detail: detailperm = 384 detail: dirperm = 493 detail: locking = no Module: Instantiated detail (detail) Module: Loaded radutmp radutmp: filename = "/usr/local/var/log/radius/radutmp" radutmp: username = "%{User-Name}" radutmp: case_sensitive = yes radutmp: check_with_nas = yes radutmp: perm = 384 radutmp: callerid = yes Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests. rad_recv: Access-Request packet from host 202.46.129.39:1068, id=7, length=122 User-Name = "Server certificate" NAS-IP-Address = 202.46.129.39 NAS-Identifier = "smclagi" NAS-Port = 29 Service-Type = Framed-User Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 EAP-Message = 0x0207001701536572766572206365727469666963617465 Message-Authenticator = 0xa5e8e940516c7dbe904c97f03ad29b3a Processing the authorize section of radiusd.conf modcall: entering group authorize for request 0 modcall[authorize]: module "preprocess" returns ok for request 0 modcall[authorize]: module "chap" returns noop for request 0 modcall[authorize]: module "mschap" returns noop for request 0 rlm_realm: No ’@’ in User-Name = "Server certificate", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 0 rlm_eap: EAP packet type response id 7 length 23 rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 0 users: Matched entry DEFAULT at line 152 users: Matched entry DEFAULT at line 171 users: Matched entry DEFAULT at line 218 modcall[authorize]: module "files" returns ok for request 0 modcall: leaving group authorize (returns updated) for request 0 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 0 rlm_eap: EAP Identity rlm_eap: processing type tls rlm_eap_tls: Requiring client certificate rlm_eap_tls: Initiate rlm_eap_tls: Start returned 1 modcall[authenticate]: module "eap" returns handled for request 0 modcall: leaving group authenticate (returns handled) for request 0
18
Sending Access-Challenge of id 7 to 202.46.129.39 port 1068 Framed-IP-Address = 255.255.255.254 Framed-MTU = 576 Service-Type = Framed-User EAP-Message = 0x010800060d20 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x45a28631c8e09433d5ac04bf9d080d62 Finished request 0 Going to the next request --- Walking the entire request list --Waking up in 6 seconds... rad_recv: Access-Request packet from host 202.46.129.39:1069, id=8, length=197 User-Name = "Server certificate" NAS-IP-Address = 202.46.129.39 NAS-Identifier = "smclagi" NAS-Port = 29 Service-Type = Framed-User Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 State = 0x45a28631c8e09433d5ac04bf9d080d62 EAP-Message = 0x020800500d800000004616030100410100003d03014587fb73db 97f15e6933aad58c29838e55fc78728c4a2370496dd157328721e8 00001600040005000a000900640062000300060013001200630100 Message-Authenticator = 0xa2ef318ea38b8f7b93f09cf17df60d78 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 1 modcall[authorize]: module "preprocess" returns ok for request 1 modcall[authorize]: module "chap" returns noop for request 1 modcall[authorize]: module "mschap" returns noop for request 1 rlm_realm: No ’@’ in User-Name = "Server certificate", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 1 rlm_eap: EAP packet type response id 8 length 80 rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 1 users: Matched entry DEFAULT at line 152 users: Matched entry DEFAULT at line 171 users: Matched entry DEFAULT at line 218 modcall[authorize]: module "files" returns ok for request 1 modcall: leaving group authorize (returns updated) for request 1 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 1 rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS rlm_eap_tls: Length Included eaptls_verify returned 11 (other): before/accept initialization TLS_accept: before/accept initialization rlm_eap_tls: < < < TLS 1.0 Handshake [length 0041], ClientHello TLS_accept: SSLv3 read client hello A rlm_eap_tls: > > > TLS 1.0 Handshake [length 004a], ServerHello TLS_accept: SSLv3 write server hello A rlm_eap_tls: > > > TLS 1.0 Handshake [length 0699], Certificate
19
TLS_accept: SSLv3 write certificate A rlm_eap_tls: > > > TLS 1.0 Handshake [length 00af], CertificateRequest TLS_accept: SSLv3 write certificate request A TLS_accept: SSLv3 flush data TLS_accept:error in SSLv3 read client certificate A rlm_eap: SSL error error:00000000:lib(0):func(0):reason(0) In SSL Handshake Phase In SSL Accept mode eaptls_process returned 13 modcall[authenticate]: module "eap" returns handled for request 1 modcall: leaving group authenticate (returns handled) for request 1 Sending Access-Challenge of id 8 to 202.46.129.39 port 1069 Framed-IP-Address = 255.255.255.254 Framed-MTU = 576 Service-Type = Framed-User EAP-Message = 0x0109040a0dc0000007a1160301004a0200004603014587fb7 a5ea73057444eef760697d1097dbba5d0f6b13dcf584e2fb4f187fdb92013a 5c163e4bfef0f1d405b51d8851daf3a2a4f53b80b22142c99cbbf09b37e510 0040016030106990b0006950006920002c9308202c53082022ea0030201020 203030304300d06092a864886f70d010105050030819c310b3009060355040 6130243413111300f0603550408130850726f76696e6365311230100603550 4071309536f6d65204369747931153013060355040a130c4f7267616e697a6 174696f6e310f300d060355040b1306746f6d696b6f311b301906035504031 312436c69656e7420636572 EAP-Message = 0x74696669636174653121301f06092a864886f70d010901161 2636c69656e74406578616d706c652e636f6d301e170d30363132313231383 23932335a170d3037313231323138323932335a308198310b3009060355040 6130243413111300f0603550408130850726f76696e6365311230100603550 4071309536f6d65204369747931153013060355040a130c4f7267616e697a6 174696f6e310f300d060355040b1306746f6d696b6f3119301706035504031 310526f6f74206365727469666963617465311f301d06092a864886f70d010 9011610726f6f74406578616d706c652e636f6d30819f300d06092a864886f 70d010101050003818d0030 EAP-Message = 0x818902818100b89e5b3962cac9315f7aeaf48e3707df08145 921cfdadc08e8afa8f605277fb08e851f98de7e8befd9f7f3da1956d8ef357 445715578e86607b8dbea90a34825f72a7be31097949dec8815a08d3eb4130 5800b46b72575c98128fc7935138e3fe618468756b21da47a3ae418df9504e b851559aea3c4c988ffad3fc7720b76fb0203010001a317301530130603551 d25040c300a06082b06010505070301300d06092a864886f70d01010505000 38181004b1a8044a29a453074920d728a65bbf43a6501aadb97578d44dec7c e42a40da4214d94c1ed11aea860dcfa7a44854a1369909f2bd87980cd567aa 0b11b1c91b304a06e981673 EAP-Message = 0x07247229d67688f42f88c66036b1d528b426b184543e82e54 99a6deccebe963b35950eddc07f17f24ceb3b1a04c5da4c952fbcae81ac75b 2b6500003c3308203bf30820328a003020102020900dd2ae3c778814fab300 d06092a864886f70d010105050030819c310b3009060355040613024341311 1300f0603550408130850726f76696e63653112301006035504071309536f6 d65204369747931153013060355040a130c4f7267616e697a6174696f6e310 f300d060355040b1306746f6d696b6f311b301906035504031312436c69656 e742063657274696669636174653121301f06092a864886f70d01090116126 36c69656e74406578616d70 EAP-Message = 0x6c652e636f6d301e170d303631323132313832383539 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x8f05a5aebe6a8c3116263387057c3ae4 Finished request 1 Going to the next request --- Walking the entire request list --Waking up in 5 seconds...
20
rad_recv: Access-Request packet from host 202.46.129.39:1070, id=9, length=123 User-Name = "Server certificate" NAS-IP-Address = 202.46.129.39 NAS-Identifier = "smclagi" NAS-Port = 29 Service-Type = Framed-User Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 State = 0x8f05a5aebe6a8c3116263387057c3ae4 EAP-Message = 0x020900060d00 Message-Authenticator = 0xee7b356a233525751bfa19ce847a4da3 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 2 modcall[authorize]: module "preprocess" returns ok for request 2 modcall[authorize]: module "chap" returns noop for request 2 modcall[authorize]: module "mschap" returns noop for request 2 rlm_realm: No ’@’ in User-Name = "Server certificate", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 2 rlm_eap: EAP packet type response id 9 length 6 rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 2 users: Matched entry DEFAULT at line 152 users: Matched entry DEFAULT at line 171 users: Matched entry DEFAULT at line 218 modcall[authorize]: module "files" returns ok for request 2 modcall: leaving group authorize (returns updated) for request 2 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 2 rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS rlm_eap_tls: Received EAP-TLS ACK message rlm_eap_tls: ack handshake fragment handler eaptls_verify returned 1 eaptls_process returned 13 modcall[authenticate]: module "eap" returns handled for request 2 modcall: leaving group authenticate (returns handled) for request 2 Sending Access-Challenge of id 9 to 202.46.129.39 port 1070 Framed-IP-Address = 255.255.255.254 Framed-MTU = 576 Service-Type = Framed-User EAP-Message = 0x010a03ab0d80000007a15a170d3038313231313138323835 395a30819c310b30090603550406130243413111300f06035504081308507 26f76696e63653112301006035504071309536f6d65204369747931153013 060355040a130c4f7267616e697a6174696f6e310f300d060355040b13067 46f6d696b6f311b301906035504031312436c69656e742063657274696669 636174653121301f06092a864886f70d0109011612636c69656e744065786 16d706c652e636f6d30819f300d06092a864886f70d010101050003818d00 30818902818100f30809f3fcedf3cfa49887d4ca4a95f17fdd8b8399105da 2f05ffcddee503d1a72da50169f2b19 EAP-Message = 0xf13a21ec075ee0be48edd07cb47ed264f12a89cbba2e9d29 02e57b7a2daf6542b6d53a3b7cdc814c4b422924831aff2096f488f7d00d4 da138a712743edb40415fbb82d0956b590b131d47926732a48a3c6fdb6733
21
af0a089f0203010001a382010530820101301d0603551d0e04160414f4178 96b8b3f07bb2e793ad570aea8b5cd3b6a4f3081d10603551d230481c93081 c68014f417896b8b3f07bb2e793ad570aea8b5cd3b6a4fa181a2a4819f308 19c310b30090603550406130243413111300f0603550408130850726f7669 6e63653112301006035504071309536f6d652043697479311530130603550 40a130c4f7267616e697a6174696f6e EAP-Message = 0x310f300d060355040b1306746f6d696b6f311b3019060355 04031312436c69656e742063657274696669636174653121301f06092a864 886f70d0109011612636c69656e74406578616d706c652e636f6d820900dd 2ae3c778814fab300c0603551d13040530030101ff300d06092a864886f70 d01010505000381810028678332f3b130e9f2ac5c838511f49aa1f791fb4e 96d8d3df3c00470f427c551cc55dbe7ac29a07483381d92282b8190b6f226 07768a7f438028d524c48e5fbce0dc3523234cff897b593ee84540b951262 ce6c16a60f9f67aa422634a7634701ffa7a1e8cffa65f602bf5f40aa4f73f 8e608b05246e5d5bcc1ba5da4b5818b EAP-Message = 0x16030100af0d0000a70301024000a1009f30819c310b3009 0603550406130243413111300f0603550408130850726f76696e636531123 01006035504071309536f6d65204369747931153013060355040a130c4f72 67616e697a6174696f6e310f300d060355040b1306746f6d696b6f311b301 906035504031312436c69656e742063657274696669636174653121301f06 092a864886f70d0109011612636c69656e74406578616d706c652e636f6d0 e000000 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x952f54dfa2acaf3a773712f0c148c87e Finished request 2 Going to the next request Waking up in 5 seconds... rad_recv: Access-Request packet from host 202.46.129.39:1071, id=10, length=1145 User-Name = "Server certificate" NAS-IP-Address = 202.46.129.39 State = 0x952f54dfa2acaf3a773712f0c148c87e EAP-Message = 0x020a041d0d800000041316030103e30b0002d30002d00002 cd308202c930820232a0030201020203030303300d06092a864886f70d010 105050030819c310b30090603550406130243413111300f06035504081308 50726f76696e63653112301006035504071309536f6d65204369747931153 013060355040a130c4f7267616e697a6174696f6e310f300d060355040b13 06746f6d696b6f311b301906035504031312436c69656e742063657274696 669636174653121301f06092a864886f70d0109011612636c69656e744065 78616d706c652e636f6d301e170d3036313231323138323932335a170d303 7313231323138323932335a30819c31 EAP-Message = 0x0b30090603550406130243413111300f0603550408130850 726f76696e63653112301006035504071309536f6d6520436974793115301 3060355040a130c4f7267616e697a6174696f6e310f300d060355040b1306 746f6d696b6f311b301906035504031312536572766572206365727469666 9636174653121301f06092a864886f70d0109011612736572766572406578 616d706c652e636f6d30819f300d06092a864886f70d010101050003818d0 030818902818100b58b7901a89e1e3185887ebecb13d578d172290764e9d8 463435dd03786b90007db68639aa946d30ce9c6ad39ec0441ccf95c839e1e c0d2e2547ba958fb2c5fcbdaf4fe9fd EAP-Message = 0x92f6744c14c9793c318ad5b6e23c379624872065a19ab211 77b7391666580524b94fdab64cdfaafc1fce94b7f08e4ad562e4b62155600 f7e1676530203010001a317301530130603551d25040c300a06082b060105 05070302300d06092a864886f70d010105050003818100ab55f243e3b45f8 cfc2d989decf50312d93667ecf489af762b324aafc7f019e1df1aa8ea4db8 4aa26ba5be6407e588fd88087e4f8805a9667f8890a21636b7f09de4d9395 6f3b02885c9faf04f9a62207e33308a6a5227376d51745f1c2d0f40f03490 67319f2d6b0d1f95c82c71de27dc6ca48c35aba45cefd22ef6e9414db5100 0008200805a05779fda0338f1a917e2
22
EAP-Message = 0xb7a6e7aedd8f306a529d8264587d54240026e2945e9052ff 77d9fa375a399f207541666036bcdd0eea19f75869e29f6a6b4b3b02bbcdb 30d7d8f5ca836a0414d3e97b3d15673e46f86d2a90e5120818dfb83161954 b10676997c698b718e9ee234a8a0951b9e364243cb8bf20c0736b674be9c5 4b60f00008200804656de9d11d620b87ec99e95b6291999cb23253f58f421 77f268105d815b5b614e69b92d5c87a4a98c4396675fde67cbf408506c609 bfd4fe6ffbe57cc28e8b51bb1236cf5c7db2ca1470e3ca50bed5603b3a9ce b29e553c1cba6ad8ff7f476f7b1241e51156a92fa185e74f27f847c555dc6 2de2f43c6c6bf30d3ad66750e651403 EAP-Message = 0x01000101160301002008b2eddd9df2ebb91dba5ae74a64ca c7f51216ff0d50c078e920f3d9bde48ded Message-Authenticator = 0xe5408e46660579dec70ce37d31b8f398 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 3 modcall[authorize]: module "preprocess" returns ok for request 3 modcall[authorize]: module "chap" returns noop for request 3 modcall[authorize]: module "mschap" returns noop for request 3 rlm_realm: No ’@’ in User-Name = "Server certificate", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 3 rlm_eap: EAP packet type response id 10 length 253 rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 3 users: Matched entry DEFAULT at line 152 users: Matched entry DEFAULT at line 218 modcall[authorize]: module "files" returns ok for request 3 modcall: leaving group authorize (returns updated) for request 3 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 3 rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS rlm_eap_tls: Length Included eaptls_verify returned 11 rlm_eap_tls: < < < TLS 1.0 Handshake [length 02d7], Certificate chain-depth=1, error=0 --> User-Name = Server certificate --> BUF-Name = Client certificate --> subject = /C=CA/ST=Province/L=Some City/O=Organization/OU=tomiko/CN=Client certifi --> issuer = /C=CA/ST=Province/L=Some City/O=Organization/OU=tomiko/CN=Client certifi --> verify return:1 chain-depth=0, error=0 --> User-Name = Server certificate --> BUF-Name = Server certificate --> subject = /C=CA/ST=Province/L=Some City/O=Organization/OU=tomiko/CN=Server certifi --> issuer = /C=CA/ST=Province/L=Some City/O=Organization/OU=tomiko/CN=Client certifi --> verify return:1 TLS_accept: SSLv3 read client certificate A rlm_eap_tls: < < < TLS 1.0 Handshake [length 0086], ClientKeyExchange TLS_accept: SSLv3 read client key exchange A rlm_eap_tls: < < < TLS 1.0 Handshake [length 0086], CertificateVerify TLS_accept: SSLv3 read certificate verify A
23
rlm_eap_tls: < < < TLS 1.0 ChangeCipherSpec [length 0001] rlm_eap_tls: < < < TLS 1.0 Handshake [length 0010], Finished TLS_accept: SSLv3 read finished A rlm_eap_tls: > > > TLS 1.0 ChangeCipherSpec [length 0001] TLS_accept: SSLv3 write change cipher spec A rlm_eap_tls: > > > TLS 1.0 Handshake [length 0010], Finished TLS_accept: SSLv3 write finished A TLS_accept: SSLv3 flush data (other): SSL negotiation finished successfully rlm_eap: SSL error error:00000000:lib(0):func(0):reason(0) SSL Connection Established eaptls_process returned 13 modcall[authenticate]: module "eap" returns handled for request 3 modcall: leaving group authenticate (returns handled) for request 3 Sending Access-Challenge of id 10 to 202.46.129.39 port 1071 EAP-Message = 0x010b00350d800000002b1403010001011603010020dd905086744a 39d6fbbc41df54f9552aba388dfa4b33c946d00eaa29450636b2 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x2c6a08176d1e0e6890bfa7deedf4c613 Finished request 3 Going to the next request Waking up in 5 seconds... rad_recv: Access-Request packet from host 202.46.129.39:1072, id=11, length=123 User-Name = "Server certificate" NAS-IP-Address = 202.46.129.39 NAS-Identifier = "smclagi" NAS-Port = 29 Service-Type = Framed-User Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 State = 0x2c6a08176d1e0e6890bfa7deedf4c613 EAP-Message = 0x020b00060d00 Message-Authenticator = 0x04536373b53f99c5b496f95e3d58aa83 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 4 modcall[authorize]: module "preprocess" returns ok for request 4 modcall[authorize]: module "chap" returns noop for request 4 modcall[authorize]: module "mschap" returns noop for request 4 rlm_realm: No ’@’ in User-Name = "Server certificate", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 4 rlm_eap: EAP packet type response id 11 length 6 rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 4 users: Matched entry DEFAULT at line 152 users: Matched entry DEFAULT at line 171 users: Matched entry DEFAULT at line 218 modcall[authorize]: module "files" returns ok for request 4 modcall: leaving group authorize (returns updated) for request 4 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 4 rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS
24
rlm_eap_tls: Received EAP-TLS ACK message rlm_eap_tls: ack handshake is finished eaptls_verify returned 3 eaptls_process returned 3 rlm_eap: Freeing handler modcall[authenticate]: module "eap" returns ok for request 4 modcall: leaving group authenticate (returns ok) for request 4 Sending Access-Accept of id 11 to 202.46.129.39 port 1072 Framed-IP-Address = 255.255.255.254 Framed-MTU = 576 Service-Type = Framed-User MS-MPPE-Recv-Key = 0xdcc70128d724d06213fc871633387f2dba fc7fb0c664e3b6762e8724f3023588 MS-MPPE-Send-Key = 0x39a9d718e2c0f5165ee88b5a665e732131 64059966c2e6194d142082ee745f3f EAP-Message = 0x030b0004 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "Server certificate" Finished request 4 Going to the next request Waking up in 5 seconds...
25