Em raddb/mods-available/ldap
ldap {
...
update {
control:Password-With-Header := '<your ldap password attribute>'
}
...
}
Em raddb/sites-available/default ou raddb/sites-available/inner-tunnel
authorize {
...
eap
ldap
pap
...
}
Em seus atributos de senha LDAP, adicione o cabeçalho apropriado antes do valor da senha.
A lista completa de cabeçalhos está aqui: link
Quando o módulo LDAP for executado, ele procurará seu atributo de senha e o armazenará no atributo Password-With-Header interno do FreeRADIUS.
Quando o módulo PAP for executado, ele pesquisará o atributo Password-With-Header , procure na lista predefinida de nomes de cabeçalho para ver se algum corresponde ao início do valor Password-With-Header .
Se o fizer, o módulo PAP removerá o cabeçalho, converterá de base64 / hex conforme apropriado, codificará a senha que o usuário forneceu com o mesmo algoritmo de resumo e sal e comparará o resultado.
Se os hashes coincidirem, o módulo pap retornará ok e a autenticação continuará, caso contrário, o módulo pap retornará a rejeição e a autenticação falhará.
Para que isso funcione, é necessário usar o EAP-TTLS-PAP EAP-Type (para WPA2-Enterprise) ou apenas PAP (para logins de webportal).