Autenticação de conta de máquina no servidor Radius

1

Minha estação de trabalho está no Linux. Eu tenho um controlador de domínio do Active Directory + servidor Radius no Windows 2008. Posso verificar a conta de usuário 'radius-01' usando a ferramenta 'radtest':

    $ radtest -t pap radius-01 password123 195.234.133.32 1812 password123
    Sending Access-Request of id 98 to 195.234.73.2 port 1812
            User-Name = "radius-01"
            User-Password = "password123"
            NAS-IP-Address = 127.0.1.1
            NAS-Port = 1812
    rad_recv: Access-Accept packet from host 195.234.133.32 port 1812, id=98, length=84
            Framed-MTU = 1344
            Framed-Protocol = PPP
            Service-Type = Framed-User
            Class = 0x537004f00000013700010200ac1c0...

Eu juntei meu PC Linux ao domínio ARB-HRK do Active Directory usando o Samba:

    [root@shev-arb]# net ads testjoin
    Join is OK

Eu posso descarregar a senha da máquina:

    [root@shev-arb]# tdbdump /var/lib/samba/private/secrets.tdb
    {
    key(34) = "SECRETS/MACHINE_PASSWORD/ARB-HRK"
    data(15) = "yGgXJsquRnpT0g
    radtest   shev-arb$ yGgXJsquRnpT0g 195.234.133.32 1812 password123
" }

Como posso autenticar minha conta de máquina no servidor Radius?

Alguém conhece alguma ferramenta para isso, como:

    $ radtest -t pap radius-01 password123 195.234.133.32 1812 password123
    Sending Access-Request of id 98 to 195.234.73.2 port 1812
            User-Name = "radius-01"
            User-Password = "password123"
            NAS-IP-Address = 127.0.1.1
            NAS-Port = 1812
    rad_recv: Access-Accept packet from host 195.234.133.32 port 1812, id=98, length=84
            Framed-MTU = 1344
            Framed-Protocol = PPP
            Service-Type = Framed-User
            Class = 0x537004f00000013700010200ac1c0...

(este comando falha)

    
por O.Shevchenko 02.11.2012 / 10:18

1 resposta

0

Em um domínio do Windows, a Autenticação de Máquina usando o segredo da máquina é desabilitada por padrão para sistemas herdados que usam MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 como método de autenticação, como os casos com IKEV1 PAP. Nesses casos, você pode encontrar falha na Autenticação DPC no NPS com o erro 0xc0000199 (NO_LOGON_WORKSTATION_TRUST_ACCOUNT).

Para habilitar a autenticação de máquina para uma conta de computador específica. Faça o seguinte:

  • Edite o atributo UserAccountControl para que WORKSTATION_TRUST_ACCOUNT seja removido e NORMAL_ACCOUNT seja adicionado ao valor.
  • Se o valor existente de UserAccountControl for x, calcule a atualização do valor para (x-4096 + 512) para fazer o trabalho de autenticação da máquina.

Siga as instruções fornecidas neste artigo da base de conhecimento: link ou:

  1. Execute adsiedit.msc no controlador de domínio
  2. Expanda a árvore e selecione a folha do computador, ela será exibida como CN = nome do host
  3. Clique com o botão direito e selecione Propriedades
  4. Na janela de propriedades, selecione o atributo userAccountControl. Clique duas vezes para editar.
  5. atualize o número deduzindo 3584 do valor existente.
  6. Pressione OK para fechar a edição e OK para fechar a caixa de diálogo de propriedades.

Reverter para a configuração normal quando o teste estiver concluído.

radtest -t mschap  'host/shev-arb.arb-hrk.net' yGgXJsquRnpT0g 195.234.133.32 1812 password123
Sending Access-Request of id 139 to 195.234.133.32 port 1812
...
rad_recv: Access-Accept packet from host 195.234.133.32 port 1812, id=139, length=142
...
    
por 12.11.2012 / 10:39