LDAP モジュールを使用して、RADIUS クライアントを Active Directory に対して認証しようとしているため、認証子として実際に LDAP を使用する必要があります。ただし、User-Password が設定されていないようです。まず、User-Password はクライアントまたはバックエンド サーバーから送信されるはずですか? 私の主な質問は、何が間違っているのかということです。
はい、ログが「これを行わないでください」と叫んでいることは承知していますが、readme を読むと、通常はそれが良いアドバイスであるように見えますが、AD ではこれが必須です。
答え1
AD では、プレーンテキスト パスワードまたは NT パスワード (パスワードの MD4 ハッシュ) の 2 つの資格情報オプションがあります。プレーンテキスト認証では、LDAP 認証バインドを使用して資格情報を検証できます。
NT パスワードを使用する場合は、認証方法として MSCHAPv2 を実行し、winbindd (samba) などを使用して AD ドメインに参加する必要があります。
しかし、あなたの場合の当面の問題は、RADIUSサーバーにチャレンジレスポンスのみを提供するCHAPを使用していることです。ないクリアテキスト パスワード。AD には RADIUS CHAP 認証をサポートするバックエンド認証メカニズムがないため、これを機能させるには、NAS (ネットワーク アクセス サーバー) に PAP (認証されたバインドによるクリアテキスト認証) または MSCHAPv2 (winbind ベースの認証) のいずれかを実行するように説得する必要があります。