Instalé y configuré un servidor Radius en mi host local; está delegando la autenticación a un servidor LDAP remoto.
Inicialmente, las cosas se ven bien: puedo probar a través de la consola:
# export user=skemp
# export pass=xxx
# radtest $user $pass localhost 1812 $secret
Sending Access-Request of id 185 to 127.0.0.1 port 1812
User-Name = "skemp"
User-Password = "xxx"
NAS-IP-Address = 192.168.1.168
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=185,
De manera similar puedo usar la herramienta de inicio de sesión para hacer lo mismo:
bash-4.0# /usr/libexec/auth/login_radius -d -s login $user radius
Password: $pass
authorize
Sin embargo, los inicios de sesión remotos a través de SSH fallan, al igual que las invocaciones de "inicio de sesión" iniciadas por root. Al mirar /var/log/radiusd.log, no veo ningún registro real de éxito/fracaso que sí veo cuando uso cualquiera de las herramientas anteriores.
En lugar de eso, sshd simplemente está registrando:
sshd[23938]: Failed publickey for skemp from 192.168.1.9
sshd[23938]: Failed keyboard-interactive for skemp from 192.168.1.9 port 36259 ssh2
sshd[23938]: Failed password for skemp from 192.168.1.9 port 36259 ssh2
En /etc/login.conf tengo esto:
# Default allowed authentication styles
auth-defaults:auth=radius:
...
radius:\
:auth=radius:\
:radius-server=localhost:\
:radius-port=1812:\
:radius-timeout=1:\
:radius-retries=5:
Respuesta1
Tuve problemas similares al configurar OpenBSD para delegar autenticaciones a un servidor ldap. La única forma de hacerlo funcionar era agregando un usuario a la base de datos local, por ejemplo
usuarioadd -s /bin/ksh -L ldap nuevo_usuario
En tu caso sería algo como
useradd -s /bin/ksh -L radio nuevo_usuario2
Sin embargo, dado que debe crear manualmente una entrada de usuario para cada máquina que utilice ldap para la autenticación, socavaría la necesidad de un servidor de autenticación ldap centralizado. A mí también se me han acabado las ideas.