FreeRADIUS服务器中EAP会话代理问题的分析与解决

问题背景

在FreeRADIUS 3.2.x版本中，当配置EAP(Extensible Authentication Protocol)认证并通过代理转发会话时，系统会出现一个关键缺陷。具体表现为：当在站点的pre-proxy阶段启用EAP模块时，任何需要代理转发的EAP认证请求都会在第一个RADIUS/EAP认证数据包阶段失败，导致认证过程无法正常进行。

问题现象

从日志中可以清晰地看到问题的关键点：

1. 服务器接收到Access-Request请求，用户名为"bob@testing.id"
2. 系统正确识别需要将请求代理转发到realm "testing.id"
3. 在pre-proxy阶段，EAP模块报告"EAP length does not match attribute length"错误
4. 最终服务器返回Access-Reject响应，包含Invalid-EAP-Packet错误代码

技术分析

这个问题源于FreeRADIUS服务器在处理代理转发EAP会话时的逻辑缺陷。深入分析日志和代码可以发现：

1. 代理转发逻辑冲突：当请求被识别为需要代理转发时，EAP模块在authorize阶段正确识别并跳过处理（显示"Request is supposed to be proxied to Realm testing.id. Not doing EAP"）。然而在pre-proxy阶段，EAP模块仍尝试处理已被标记为代理的请求，导致验证失败。

2. 长度验证错误：EAP模块在pre-proxy阶段执行了不必要的EAP数据包验证，而此时数据包可能已经被修改或标记为代理转发，造成长度不匹配的错误。

3. 处理流程缺陷：系统没有正确处理"已标记为代理转发"的EAP请求在pre-proxy阶段的处理逻辑，导致模块在不适当的阶段介入处理。

解决方案

该问题已在后续提交中修复，主要修改包括：

1. 逻辑优化：在pre-proxy阶段，EAP模块现在会先检查请求是否已被标记为代理转发。如果是，则跳过处理，避免不必要的验证。

2. 流程调整：确保EAP模块在不同处理阶段的行为一致性，对于代理转发的请求保持统一的跳过处理策略。

3. 错误处理改进：增强对代理转发情况下EAP数据包的特殊处理，避免因代理标记导致的验证失败。

影响与建议

这个问题主要影响以下场景：

• 使用EAP认证方式（如PEAP、TTLS等）的环境
• 需要将EAP会话代理转发到其他RADIUS服务器的配置
• 在pre-proxy阶段启用了EAP模块的站点配置

对于使用FreeRADIUS 3.2.x版本并需要代理EAP会话的用户，建议：

1. 升级到包含修复的版本
2. 如果暂时无法升级，可以暂时从pre-proxy阶段移除EAP模块
3. 仔细检查代理配置，确保realm和home server配置正确

总结

FreeRADIUS作为广泛使用的RADIUS服务器实现，其EAP和代理功能的稳定性对许多认证场景至关重要。这个问题的发现和修复体现了开源社区对软件质量的持续改进，也提醒我们在复杂认证场景中需要特别注意各模块间的交互逻辑。通过这次问题的分析，我们可以更深入地理解FreeRADIUS处理EAP和代理请求的内部机制，为今后的配置和问题排查积累宝贵经验。