freeradius在AP控制器设备中test-aaa 显示timeout的解决方案

华为AC6605系列无线控制器,管理所有的fitap,在大型的网络中，一般都用802.1x +radius验证后无线上网。

freeradius的各项配置都没有问题，radtest确认下面的两个账号都没有问题。

| whs11    | md5-Password | := | f696282aa4cd4f614aa995190cf442fe |
 | demo     | cleartext-password     | := | demo321                          |

radtest  name password localhost 0  key     ，每个都显示ACCEPT，

但是在华为AC6605测试test-aaa ，都显示  Error: Account test time out.

解决方法：

在AC6605内看一下配置

radius-server template lwcz.com
 radius-server shared-key cipher %@%@Z\}v+3Ym$ZCm>aFDTs-XTW44%@%@
 radius-server authentication 192.168.6.10 1812 weight 81
 radius-server accounting 192.168.6.10 1813 weight 81

在radius服务器内，killall -9 radiusd ,  radiusd -X 启动的是DEBUG模式。

1）用户账号和密码正确，但是share-key错误会显示timeout。

     在AC6605控制器中操作。

      radius-server sharekey cipher  key   修改share-key 

      test-aaa  demo demo321 radius lwcz.com   测试通过，radius服务器的信息显示accept。

      test-aaa  whs11  whs111 radius lwcz.com    测试还是timeout,radius服务器显示的信息是reject，参考2）解决方法。

2）密码账号和share-key都正确，但是radcheck表内密码类型不匹配，在freeradius的radcheck内，保存有字段四个：

   user,attribute,op,value，user是账号，attribute是密码加密类型,value是密码。

freeradius服务器内，查看一下radcheck，可以看到密码加密有md5-password,cleartext-password

mysql>select * from radcheck ; 

可以看到两个

 | whs11    | md5-Password | := | f696282aa4cd4f614aa995190cf442fe |
 | demo     | cleartext-password     | := | demo321            

  

test-aaa username password radius  lwcz.com    该测试要求radius内的密码是明文方式。因此demo可以通过，但whs11无法验证；

test-aaa username password radius  lwcz.com  pap  该测试要求radius内的密码是md5方式。因此whs11可以通过。

现在可以在ac6605如下测试了：

  test-aaa  demo demo321 radius lwcz.com    

 test-aaa  whs11  whs111 radius lwcz.com   pap  

  小结： 没有pap/chap，只支持radcheck内密码类型为password或者cleartext-password。

               加上pap ，则支持MD5-pasword类型的认证。

              猜想：加上chap呢？一定是MD5和cleartext之外的加密方式才可以！ 

2017年10月新增加补充：

radiusd.conf内有

           reject_delay=5，拒绝按照延时5秒，在AC6605 中验证失败会显示timeout

         reject_delay=1， 拒绝按照延时1秒，在AC6605 中会显示用户名或者密码错误t