[Eisfair] freeradius sendet keine Mails mit den Certs -> 2. Make a usercertificate funkt nicht (richtig)

Stephan Manske usenet-reply at stephan.manske-net.de
Mo Jan 2 18:05:24 CET 2012 

oezbilen at gmx.net (H. D. Oezbilen) schrieb:

> der Menuepunkt
> 
>    2. Make a user certificate
> 
> unter
> 
> Freeradius: Certificate Managment
> 
> funktioniert ein einziges Mal. Wenn man freeradius neu installiert (o. 
> ein Update auf ein altes Paket anwendet) referenziert die Setup-Routine 
> die alte vorhandene config. Wenn dort, wie in meinem Fall drei Benutzer 
> sind, bietet der o.g. Punkt auch *alle* Benutzer neu an, damit man fuer 
> diese manuell ein Cert ausstellt und dieser dann auch v. System versandt 
> wird. Soweit, so gut.

Auf Anhieb ist mir nicht wirklich klar, warum mein Paket Dir das
Erzeugen neuer User-Certs anbieten sollte, nur weil Du das Paket
aktualisiert hast!? (ich nehme jetzt mal an, daß Du schon Certs
hattest - sonst ist das natürlich iO).



> Jedoch, fuegt man der config n+1 Benutzer nach, wird der neue Benutzer 
> *nicht* im o.g. Menuepunkt angeboten. Sprich, diesem Benutzer kann man 
> kein Cert ausstellen und damit auch nicht versenden. :-(

hm, gerade eben einen User hinzugefügt, schwups bekomme ich im Menü
Make a user certificate auch diesen angezeigt.


Du schriebst:

| list of active certificates/Menue:
| 
| werden CERT=01 (system/root), CERT=02 (Benutzer eins) aufgefuehrt. Die
| anderen leider nicht, obwohl diese (Benutzer drei/vier)
| 
| list of existing users:
| #    User name           Cert serial (if cert allready
| 
| aufgelistet werden.


kannst Du bitte mal den ganzen Output angeben? (ggf. Usernamen
verändert).

und was sagt denn

Revoke a user certificate

Renew outdated certificates - Renew for users

Revoke orphaned / unused user certificates

gerade letzteres könnte eine Hilfe sein, falls bei Dir irgendwelche
Cert-Leichen rumliegen sollten.


Und /etc/config.d/freeradius (ggf. mit maskierten Namen und pass)
wäre auch hilfreich, um ein Bild von Deiner Einsatz-Umgebung zu
bekommen.


> Am Anfang kann man die CA/Certs sicher mal platt machen und neu 
> ausstellen. Wenn das System in die Produktion geht, so waere das bei 
> einer groesseren Anzahl Benutzer doch problematisch, denn es geht halt 
> nur ein einziges Mal, dass man bei der Neuanlage der CA + Certs jedem 
> einmal eine Mail (nachtraeglich) senden kann, aber zusaetzliche, 
> spaetere hinzugefuegte Benutzer v. der Routine ignoriert, nicht erfasst 
> werden und somit keine certs/mails mehr v. System bekommen. :-(

Das wäre in der Tat äußerst unangenehm und ist weder so vorgesehen
noch kann ich im Moment den Fehler finden.


Kannst Du ggf. nochmal komplett das Paket löschen und
sicherheitshalber auch gucken, ob wirklich /etc/config.d/freeradius
und /etc/raddb leer bzw. gelöscht sind, und dann Schritt für Schritt
mitloggen, was Du machst (und gucken, ob der Fehler wieder auftritt)?




Ciao, Stephan

-- 
E-Mail: stephan at manske-net.de - WWW: http://stephan.manske-net.de/     //
                                                          PGP 2.6.3i \X/
Das ist kein Sarkasmus, das ist Leistungsbewertung !

Mehr Informationen über die Mailingliste Eisfair