freeradius перестает работать через некоторое время

У меня есть freeradius 2.1.12, работающий под Ubuntu 14.04, с аутентификацией на контроллере Windows 2012 Active Directory. Хотя в большинстве случаев приложение работает нормально, через несколько дней работы может случиться так, что действительные пользователи вдруг не смогут аутентифицироваться. Затем журнал может отображать такие вещи, как

Login incorrect (mschap: External script says ): [john.doe] (from client myclient port 0 via TLS tunnel)
Login incorrect: [john.doe] (from client myclient port 1 cli 20-E4-A2-67-8D-4A)

Обратите внимание, что «действительно» неправильный вход в систему будет иметь какое-то объяснение, например (mschap: External script says Logon failure (0xc000006d)). Перезапуск службы freeradius помогает, но почему это вообще происходит?

РЕДАКТИРОВАТЬ: При более внимательном изучении общих событий выясняется, что сбой начинает происходить (если вообще возникает) утром сразу после первой попытки входа в систему после ежедневного SIGHUP:

08:04:33 2016 : Info: HUP - loading modules
08:04:33 2016 : Info:  Module: Reloaded module "attr_filter.access_reject"
08:04:33 2016 : Info:  Module: Reloaded module "attr_filter.accounting_response"
08:04:33 2016 : Info:  Module: Reloaded module "pap"
08:04:34 2016 : Info:  Module: Reloaded module "radutmp"
08:04:34 2016 : Info:  Module: Reloaded module "suffix"
08:04:34 2016 : Info:  Module: Reloaded module "files"
08:04:34 2016 : Info:  Module: Reloaded module "detail"
08:04:34 2016 : Info:  Module: Reloaded module "mschap"
08:04:34 2016 : Info: Loaded virtual server <default>
08:04:34 2016 : Info: Loaded virtual server inner-tunnel
10:39:00 2016 : Error:   [ldap] ldap_search() failed: LDAP connection lost.
10:39:00 2016 : Info:   [ldap] Attempting reconnect
10:39:01 2016 : Auth: Login incorrect (mschap: External script says ): [someusername] (from client astaro port 0 via TLS tunnel)
10:39:01 2016 : Auth: Login incorrect: [someusername] (from client astaro port 1 cli 20-E4-B8-78-8E-32)

Однако ошибка ldap кажется «нормальной» для ежедневной процедуры HUP, и вполне может случиться так, что следующая запись в журнале после «Попытка повторного подключения» будет «Вход в систему ОК». Кроме того, я не вижу намека на то, что попытка повторного подключения могла быть неудачной (в этом случае я ожидал хотя бы предупреждения). Я не вижу ничего особенного на сервере AD.


active-directory ubuntu-14.04 freeradius
person Hagen von Eitzen    schedule 23.05.2016    source источник
comment
Не могли бы вы опубликовать полный вывод? И, может быть, вывод журнала сервера?   -  person Maxime B    schedule 02.06.2016
comment
@MaximeB Я добавил больше окружающих сообщений журнала (которые не отличаются от случаев, когда все в порядке). Если под сервером вы имеете в виду сервер AD - вроде бы ничего особенного.   -  person Hagen von Eitzen    schedule 02.06.2016

Ответы (1)


arrow_upward
0
arrow_downward

Я все еще не уверен в основной причине, но, поскольку перезапуск службы до сих пор всегда помогал, я отредактировал /etc/logrotate.d/freeradius и изменил действие postrotate с reload на restart. Чтобы быстрее убедиться в положительном эффекте, я тоже на время поменяю weekly на daily.

person Hagen von Eitzen    schedule 13.06.2016
comment
Это баг, его исправили несколько лет назад. FreeRADIUS 2.1.12 — древний, и вам следует обновить его до версии 3 или, по крайней мере, до последней версии 2. - person Matthew Newton; 22.06.2016