freeradius ssl certifikate problem

[KBr]

Ich richte gerade einen radius-server ein, der unsere WLAN-Benutzer gegen einen ldap-Server authentifizieren soll. Ich hab den Server auch soweit am Laufen und kann den mit radtest testen. Dabei bekomme ich als Output von radiusd -X neben vielen anderen Dingen, die sehr gut aussehen, z.B. klappt die Authentifizierung einwandfrei, auch noch am Schluss folgende Meldung:

Cleaning up request 0 ID 15 with timestamp +11
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
WARNING: !! EAP session for state 0xc0e657b3c0e94288 did not finish!
WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility
WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
Ready to process requests.

Ich habe nach der Anleitung der README in /etc/raddb/certs die erforderlichen Zertifikate erzeugt. Die Dateinamen in der eap.conf hab ich nicht angefasst. Außerdem hab ich ca.pem nach /etc/ssl/certs kopiert, damit ich von localhost überhaupt die Testanfrage machen kann.

Der Output von radtest sieht so aus:

root:55# radtest -x -d /etc/raddb -t eap-md5 username 'passwort' localhost 10 mein-geheimnis
Sending Access-Request packet to host 127.0.0.1 port 1812, id=15, length=0
User-Name = "username entfernt"
User-Password = "Passwort entfernt"
NAS-IP-Address = IP-entfernt
NAS-Port = 10
EAP-Code = Response
EAP-Type-Identity = "username entfernt"
Message-Authenticator = 0x00
EAP-Message = 0x020e000901756c6c69
Received Access-Challenge packet from host 127.0.0.1 port 1812, id=15, length=64
EAP-Message = 0x010f00061520
Message-Authenticator = 0x9cd30b7ae830012c255cf8ac4184b8c0
State = 0xc0e657b3c0e9428812cedefebbac4338
EAP-Id = 15
EAP-Code = Request
EAP-Type-LEAP = 0x20

So, wie das für mich aussieht, hat der Server trotz des Gemeckers zufriedenstellend geantwortet. Trotzdem wäre ich gerne die Warnung los. Leider ist die in der Warnung genannte URL mausetot.

Ich bin für jeden Tip dankbar. Insbesondere würde mir eine Kopie des Inhalts der fehlerhaften URL sehr helfen.

[KobRheTilla]

Zitat:

Zitat von KBr

WARNING: !! Please read http://wiki.freeradius.org/Certificate_Compatibility

Leider ist die in der Warnung genannte URL mausetot.

Ich bin für jeden Tip dankbar. Insbesondere würde mir eine Kopie des Inhalts der fehlerhaften URL sehr helfen.

Ich komm auf die Seite rauf, vielleicht bringt der Google-Cache dir was:

http://www.google.de/url?sa=t&rct=j&...pVnv0w&cad=rja

Rob

[KBr]

Zitat:

Zitat von KobRheTilla

Ich komm auf die Seite rauf, vielleicht bringt der Google-Cache dir was:

http://www.google.de/url?sa=t&rct=j&...pVnv0w&cad=rja

Rob

Wunderbar, jetzt weiß ich wenigstens, dass da nichts steht, was ich nicht schon weiß.

Diese Warnung sollte eigentlich nur auftreten, wenn Windowssystemen ein spezieller Zusatz im Server-Zertifikat fehlt. das sollte hier nicht der Fall sein, jedenfalls wird laut Makefile dieser Zusatz beim Aufruf von openssl berücksichtigt. Außerdem teste ich das auf localhost mit radtest. Andere als Windowskisten haben angeblich keine last mit Standard-Zertifikaten.

Möglicherweise beruht der Fehler darauf, dass radtest den challange response dialog regulär nicht zuende führt. das muss ich nochmal gucken. Weil das sonst nämlich alles ganz normal aussieht.

EDIT

für die o.g. These spricht, dass radtest mit einem Rückgabewert von 0 aussteigt. Der scheint also mit dem erhaltenen Access-Challenge Paket zufrieden zu sein.

[KBr]

Der Fall hat sich erledigt. Die Warnung kommt nur, weil radtest nach dem ersten Access-Challenge Paket aussteigt.