0

samba4 サーバーと、ldap 経由で認証するための freeradius をセットアップしました。

radclient でテスト済みで、ドメイン ユーザーは認証できます。

ここで、認証を MikroTik ルーターから freeradius に転送して、ldap...

ただし、freeradius には平文のパスワードが必要で、mikrotik は CHAP を使用しているようです。

とにかくこのセットアップを機能させる方法はありますか?

freeradius での LDAP の構成:

ldap {
        server          = "10.100.100.4"
        identity        = "cn=pcmedic,cn=users,dc=fundao,dc=pcmedic,dc=pt"
        password        = xxxxxxxxxx

        basedn          = "cn=users,dc=fundao,dc=pcmedic,dc=pt"

        #password_attribute = "userPassword"

        #filter         = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
        filter          = "(sAMAccountName=%{Stripped-User-Name:-%{User-Name}})"

        ldap_connections_number = 5
        timeout         = 4
        timelimit       = 3
        net_timeout     = 1
        tls {
                start_tls = no
        }
        #access_attr = "msNPAllowDialin"
        dictionary_mapping = ${confdir}/ldap.attrmap
        edir_account_policy_check = no
        keepalive {
                idle = 60
                probes = 3
                interval = 3
        }
}
4

1 に答える 1

3

これは、LDAP に平文のパスワードが保存されている場合にのみ可能です。

認証タイプとハッシュ スキームの有効な組み合わせについては、こちらのマトリックスを参照してください。

問題は、CHAP 応答がパスワードの暗号化されたバージョンではなく、一方向ハッシュであることです。同じハッシュを適用し、パスワードのハッシュ値を CHAP 応答と比較できるように、クリアテキスト バージョンが必要です。CHAP 応答もソルト化されます。つまり、ハッシュ化されたバージョンのパスワードを LDAP に保存することはできません。

于 2014-05-26T12:49:13.997 に答える