Falls ihr auf der FortiGate einen Freeradius Server einbinden wollt, und diesen unter Debian betreibt, bekommt ihr vermutlich beim Radius Connect Test die Fehlermeldung "No Message-Authenticator attribute". Hintergrund dafür ist eine Sicherheitslücke im Radius Protokoll. Aus diesem Grund wurden zwei neue Konfigurationsoptionen in der /etc/freeradius/3.0/radiusd.conf hinzugefügt.
security {
...
require_message_authenticator = auto
limit_proxy_state = auto
}Damit wären die meisten Systeme geschützt. Idealerweise macht man jedoch ein Update der Systeme, sodass diese geschützt sind.
Damit kommen wir aber zur Achillesferse des Ganzen. Viele Linux Repositories aktualisieren ihre Paket jedoch nicht zeitnah, sodass uns nur der Bau aus den Quellen bleibt, oder aber folgender Workaround:
/etc/freeradius/3.0/sites-enabled/default
authorize {
if (!EAP-Message) {
update reply {
Message-Authenticator := 0x00
}
}
...Ein Neustart des Freeradius Dienstes mit systemctl restart freeradius und der Radius Test sollte funktionieren.