我在Ubuntu 14.04下运行freeradius 2.1.12,对Windows 2012 Active Directory控制器进行身份验证。虽然在大多数情况下工作正常,但在运行几天之后可能会发生突然有效用户无法进行身份验证。然后日志可能会显示
之类的内容Login incorrect (mschap: External script says ): [john.doe] (from client myclient port 0 via TLS tunnel)
Login incorrect: [john.doe] (from client myclient port 1 cli 20-E4-A2-67-8D-4A)
请注意,“真正”错误的登录会有一些解释,例如(mschap: External script says Logon failure (0xc000006d))
。
重新启动freeradius服务会有所帮助,但为什么会在第一时间发生这种情况呢?
编辑:仔细检查一下常见事件后,似乎早上开始发生故障(如果有的话),并在每日SIGHUP之后首次登录尝试:
08:04:33 2016 : Info: HUP - loading modules
08:04:33 2016 : Info: Module: Reloaded module "attr_filter.access_reject"
08:04:33 2016 : Info: Module: Reloaded module "attr_filter.accounting_response"
08:04:33 2016 : Info: Module: Reloaded module "pap"
08:04:34 2016 : Info: Module: Reloaded module "radutmp"
08:04:34 2016 : Info: Module: Reloaded module "suffix"
08:04:34 2016 : Info: Module: Reloaded module "files"
08:04:34 2016 : Info: Module: Reloaded module "detail"
08:04:34 2016 : Info: Module: Reloaded module "mschap"
08:04:34 2016 : Info: Loaded virtual server <default>
08:04:34 2016 : Info: Loaded virtual server inner-tunnel
10:39:00 2016 : Error: [ldap] ldap_search() failed: LDAP connection lost.
10:39:00 2016 : Info: [ldap] Attempting reconnect
10:39:01 2016 : Auth: Login incorrect (mschap: External script says ): [someusername] (from client astaro port 0 via TLS tunnel)
10:39:01 2016 : Auth: Login incorrect: [someusername] (from client astaro port 1 cli 20-E4-B8-78-8E-32)
但是,对于每日HUP例程,ldap错误似乎是“正常”,并且在“尝试重新连接”之后的下一个日志条目也可能是“登录正常”。此外,我没有看到重新连接尝试可能失败的提示(在这种情况下,我原本预计至少会发出警告)。 我在AD服务器上看不到任何特别的东西。
答案 0 :(得分:0)
我仍然不确定其根本原因,但由于服务重新启动到目前为止一直有所帮助,我编辑了/etc/logrotate.d/freeradius
并将postrotate
操作从reload
更改为{{1 }}。
为了更快地验证积极效果,我还会将restart
更改为weekly
一段时间。