forum.bitel.ru
http://forum.bitel.ru/

EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
http://forum.bitel.ru/viewtopic.php?f=44&t=9551		 Страница 1 из 1
Автор:  abu [ 08 авг 2014, 10:36 ]
Заголовок сообщения:  EAP авторизация - ArrayIndexOutOfBoundsException
Пробую настроить EAP-авторизацию для абонента wifi, через Ubiquiti Nanostation M2 (настроена бриджом и умеет слать к RADIUS'у запросы). Файл-хранилище сертификата .keystore создан и размещен в inetaccess. Во время авторизации получаю Access-Reject абоненту, несмотря на открытый договор, и адовый (: лог в котором ошибки вида:

Цитата:
radius 08-08/13:51:27 DEBUG [rdsLstnr-p-8-t-5] radius - Handshake,v3.1 ClientHello version 3.1 random = 53E448F0ED5BD514648882C00E893223DE9C60A7F5233AF7E6467D634F9811DD session_id = cipher_suites Unknown Cipher Suite 0xffffc014 Unknown Cipher Suite 0xffffc00a Unknown Cipher Suite 0xffffc022 Unknown Cipher Suite 0xffffc021 TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA Unknown Cipher Suite 0xffffc00f Unknown Cipher Suite 0xffffc005 TLS_RSA_WITH_AES_256_CBC_SHA Unknown Cipher Suite 0xffffc012 Unknown Cipher Suite 0xffffc008 Unknown Cipher Suite 0xffffc01c Unknown Cipher Suite 0xffffc01b TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA Unknown Cipher Suite 0xffffc00d Unknown Cipher Suite 0xffffc003 TLS_RSA_WITH_3DES_EDE_CBC_SHA Unknown Cipher Suite 0xffffc013 Unknown Cipher Suite 0xffffc009 Unknown Cipher Suite 0xffffc01f Unknown Cipher Suite 0xffffc01e TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA Unknown Cipher Suite 0xffffc00e Unknown Cipher Suite 0xffffc004 TLS_RSA_WITH_AES_128_CBC_SHA Unknown Cipher Suite 0xffffc011 Unknown Cipher Suite 0xffffc007 Unknown Cipher Suite 0xffffc00c Unknown Cipher Suite 0xffffc002 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_DHE_RSA_WITH_DES_CBC_SHA TLS_DHE_DSS_WITH_DES_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 TLS_RSA_EXPORT_WITH_RC4_40_MD5 Unknown Cipher Suite 0xffffffff Unknown Cipher Suite 0x100 Unknown Cipher Suite 0x40 TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_WITH_RC4_128_MD5 Unknown Cipher Suite 0x300 Unknown Cipher Suite 0x102 TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_DH_DSS_WITH_DES_CBC_SHA TLS_DH_anon_WITH_RC4_128_MD5 TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 TLS_RSA_WITH_IDEA_CBC_SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_DES_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 TLS_DH_RSA_WITH_DES_CBC_SHA TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA Unknown Cipher Suite 0x1503 Unknown Cipher Suite 0x100 Unknown Cipher Suite 0x202Caught java.lang.ArrayIndexOutOfBoundsException: 205


Хотелось бы знать - эта ошибка на что-то влияет или мне нужно продолжать выпрямлять руки в части настройки? Полный лог прилагаю. Информация о версии:

Клиент: вер. 6.0 сборка 1301 от 06.03.2014 16:48:33
os: Linux; java: Java HotSpot(TM) Server VM, v.1.7.0_55
ВНИМАНИЕ: Спецификация версии 1.7 не рекомендуется
Сервер: вер. 6.0 сборка 1697 от 11.03.2014 16:54:01
os: Linux; java: Java HotSpot(TM) 64-Bit Server VM, v.1.7.0_65
ВНИМАНИЕ: Спецификация версии 1.7 не рекомендуется

assist вер. 6.0 сборка 105 от 05.02.2014 15:53:10
bill вер. 6.0 сборка 342 от 05.02.2014 19:11:42
card вер. 6.0 сборка 226 от 05.02.2014 15:53:15
dba вер. 6.0 сборка 168 от 05.02.2014 15:53:37
enaza вер. 6.0 сборка 75 от 05.02.2014 15:53:46
gorod вер. 6.0 сборка 169 от 05.02.2014 15:53:47
inet вер. 6.0 сборка 1353 от 11.03.2014 17:16:59
mps вер. 6.0 сборка 210 от 24.02.2014 20:25:19
npay вер. 6.0 сборка 223 от 05.02.2014 15:55:06
paylinks вер. 6.0 сборка 34 от 05.02.2014 15:55:07
qiwi вер. 6.0 сборка 41 от 05.02.2014 15:55:21
rentsoft вер. 6.0 сборка 59 от 05.02.2014 15:55:46
reports вер. 6.0 сборка 210 от 05.02.2014 15:55:46
rscm вер. 6.0 сборка 192 от 05.02.2014 15:55:48
ru.bitel.bgbilling.plugins.cladr вер. 6.0 сборка 121 от 05.02.2014 15:55:14
ru.bitel.bgbilling.plugins.dispatch вер. 6.0 сборка 102 от 06.03.2014 16:49:16
trayinfo вер. 6.0 сборка 176 от 05.02.2014 15:55:51
wellpay вер. 6.0 сборка 38 от 05.02.2014 15:56:19
wm вер. 6.0 сборка 191 от 05.02.2014 15:56:42
yamoney вер. 6.0 сборка 65 от 05.02.2014 15:56:43

Вложения:
eap.log [53.48 КБ]
Скачиваний: 464
Автор:  Amir [ 08 авг 2014, 14:00 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException
А какую именно из EAP авторизаций используете?
Автор:  abu [ 08 авг 2014, 15:31 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
На wifi-устройствах устанавливаю PEAP.
Дело для меня совершенно новое, вполне возможно, что я просто не до конца еще разобрался в сертификатах - как и где их размещать на wifi-устройствах.
Автор:  Amir [ 08 авг 2014, 19:58 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
А этот лог из all.log?
Автор:  abu [ 11 авг 2014, 05:29 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
Да, это полный лог.

Еще - с версией биллинга немного ошибся, приношу извинения:

Информация о версии:

Клиент: вер. 6.0 сборка 1333 от 11.07.2014 17:38:02
os: Linux; java: Java HotSpot(TM) Server VM, v.1.7.0_55
ВНИМАНИЕ: Спецификация версии 1.7 не рекомендуется
Сервер: вер. 6.0 сборка 1769 от 15.07.2014 17:54:29
os: Linux; java: Java HotSpot(TM) Client VM, v.1.7.0_55
ВНИМАНИЕ: Спецификация версии 1.7 не рекомендуется
Автор:  Amir [ 12 авг 2014, 02:41 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
Там PEAP разные бывают, сейчас поддерживается PEAPv0-MSCHAPv2, который появился в WindowsXP SP2 (а также EAP-TLS, EAP-TTLS).
Цитата:
radius 08-08/13:49:14 DEBUG [rdsLstnr-p-8-t-8] EAPPEAPAuthenticator0 - tunnel in:01 78 78 78
radius 08-08/13:49:14 DEBUG [rdsLstnr-p-8-t-8] EAPPEAPAuthenticator0 - tunnel out: 1A 01 05 00 1E 10 3F 94 CA 4A E2 A9 12 4D 36 64 B0 27 D2 C8 73 F6 42 47 42 69 6C 6C 69 6E 67
В данном случае PEAP туннель создался, Access предложил MSCHAPv2 и клиенту этот tunnel out с предложением похоже не понравился.
Автор:  abu [ 12 авг 2014, 09:02 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
Пробовал разные варианты, получилось соединиться из-под WinXP SP2, "Тип EAP - Защищенный EAP-PEAP" c отключенной галкой "Проверять сертификат сервера", "Безопасный пароль (EAP-MSCHAP v.2)" (eap1.log). Если эту галку включаю и выбираю сертифкат, сгенеренный для inetAccess, соединение не устанавливается (eap2.log).

Вопросы остались такие:
Сертификат обязательно нужно подписывать доверенным сертификатом (у меня - не подписанный)?
Критична ли ошибка Caught java.lang.ArrayIndexOutOfBoundsException, которая наблюдается в логах?

Еще столкнулся с такой особенностью, насколько я понял, если генерить .keystore с алиасом, отличным от bgbilling, то получим EAP not enabled.

Вложения:
eap2.log [22.05 КБ]
Скачиваний: 460
eap1.log [25.03 КБ]
Скачиваний: 446
Автор:  Amir [ 12 авг 2014, 14:19 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
Т.е. работает только в XP, больше нигде?

EAP-авторизации используют TLS, т.е. и сертификаты тоже. Как и с HTTPS при этом используется аутентификация сервера (как-бы вдруг это не настоящий RADIUS-сервер, а MITM).
Так что либо галочку не ставить, либо делать доверенный сертификат, ну либо самоподписанный сертификат, который абонент должен будет добавить к себе в доверенные.

Цитата:
Еще столкнулся с такой особенностью, насколько я понял, если генерить .keystore с алиасом, отличным от bgbilling, то получим EAP not enabled.
Да, сейчас так.
Автор:  abu [ 12 авг 2014, 17:32 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
Цитата:
Т.е. работает только в XP, больше нигде?


А это - правильная работа? Во всей встреченной документации пишут о том, что нужно добавить свой сертификат в доверенные и включить проверку сертификата в настройках подключения. А я, получается, проверку отключаю.

Не работает на "андроидах" в разных вариациях подключения. К биллингу, скорее всего, тут вопросов нет, наверное дело именно в сертификате - он загружается в "андроид", но не появляется в списках доверенных либо пользовательских. Я пробовал еще подсунуть клиентский - не получается подключиться, но зато сам этот сертификат в настройках подключения хотя бы можно выбрать (серверный нигде не виден после загрузки). Без сертификатов, типа - peap + mschapv2 - тоже не получается, после того как туннель "предложен", происходит пауза в логах и access-reject с любыми вариантами EAP.

Спасибо за объяснения, буду разбираться дальше самостоятельно, меня смущала ошибка в логах, судя по всему - она не критична?
Автор:  Amir [ 12 авг 2014, 17:41 ]
Заголовок сообщения:  Re: EAP авторизация - ArrayIndexOutOfBoundsException (CRM)
По правильному - да, должен быть доверенный сертификат.

Нет, не критична. Похоже возникает в классе, который логирует что происходит внутри TLS (handshake и т.п.) в режиме DEBUG.
Страница 1 из 1 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/