Não é possível autenticar o raio no diretório ativo

Question

Não é possível autenticar o raio no diretório ativo

#1 resposta do (1 votos)

1

Estou tentando usar o módulo LDAP para autenticar clientes radius em relação ao diretório ativo, portanto, preciso que ele realmente use o LDAP como o autenticador. No entanto, parece que a senha do usuário não está sendo definida. Em primeiro lugar, a senha do usuário deve ser enviada pelo cliente ou pelo servidor de back-end? Minha principal questão é: o que estou fazendo errado?

E sim, estou ciente de que os logs estão gritando "não faça isso" para mim, mas ler o readme parece que geralmente é um bom conselho, mas o AD exige isso.

active-directory freeradius

por Duncan X Simpson 13.03.2018 / 03:13

1 resposta

Tags active-directory freeradius

Configuração do Huawei CloudEngine Apache2.4 htaccess - negativo ifModule executado independentemente

score 1 · Accepted Answer

Com o AD, você tem duas opções de credenciais, a senha de texto sem formatação ou a senha do NT (MD4 hash da senha). Com a autenticação de texto sem formatação, você pode usar uma ligação LDAP autenticada para validar as credenciais.

Com o NT-Password, você precisaria executar o MSCHAPv2 como método de autenticação e usar algo como winbindd (samba) para ingressar no domínio do AD.

O problema imediato no seu caso, no entanto, é que você está usando o CHAP, que fornece apenas uma resposta de desafio ao servidor RADIUS não da senha do texto não criptografado. Não há mecanismo de autenticação de back-end no AD que ofereça suporte à autenticação RADIUS CHAP, portanto, se você quiser que isso funcione, você precisará convencer seu NAS (Network Access Server) a executar PAP (para autenticação de texto não criptografado com ligação autenticada) ou MSCHAPv2 ( com para autenticação baseada em winbind).