Ich versuche, das LDAP-Modul zu verwenden, um Radius-Clients gegenüber Active Directory zu authentifizieren. Daher muss es LDAP als Authentifikator verwenden. Es scheint jedoch, dass das Benutzerkennwort nicht festgelegt wird. Zunächst einmal: Soll das Benutzerkennwort vom Client oder vom Backend-Server gesendet werden? Meine Hauptfrage ist: Was mache ich falsch?
Und ja, ich bin mir bewusst, dass die Protokolle mir zurufen: „Tu das nicht“, aber wenn man die Readme-Datei liest, scheint es, dass das normalerweise ein guter Rat ist, AD dies jedoch erfordert.
Antwort1
Mit AD haben Sie zwei Anmeldeoptionen, entweder das Klartextkennwort oder das NT-Kennwort (MD4-Hash des Kennworts). Mit der Klartextauthentifizierung können Sie eine LDAP-authentifizierte Bindung verwenden, um die Anmeldeinformationen zu validieren.
Mit dem NT-Passwort müssen Sie MSCHAPv2 als Authentifizierungsmethode ausführen und etwas wie winbindd (Samba) verwenden, um der AD-Domäne beizutreten.
Das unmittelbare Problem in Ihrem Fall ist jedoch, dass Sie CHAP verwenden, das nur eine Challenge-Antwort an den RADIUS-Server liefertnichtdas Klartextkennwort. Es gibt keinen Backend-Authentifizierungsmechanismus in AD, der RADIUS CHAP-Authentifizierung unterstützt. Wenn dies also funktionieren soll, müssen Sie Ihren NAS (Network Access Server) davon überzeugen, entweder PAP (für Klartextauthentifizierung mit authentifizierter Bindung) oder MSCHAPv2 (mit Winbind-basierter Authentifizierung) auszuführen.