Estoy intentando usar el módulo LDAP para autenticar clientes Radius en el directorio activo, por lo que necesito que realmente use LDAP como autenticador. Sin embargo, parece que la contraseña de usuario no se establece. En primer lugar, ¿se supone que el cliente o el servidor backend envía la contraseña de usuario? Mi pregunta principal es, ¿qué estoy haciendo mal?
Y sí, soy consciente de que los registros me gritan "no hagas esto", pero al leer el archivo Léame parece que suele ser un buen consejo, pero AD lo requiere.
Respuesta1
Con AD tiene dos opciones de credencial: la contraseña en texto plano o la contraseña NT (hash MD4 de la contraseña). Con la autenticación de texto sin formato, puede utilizar un enlace autenticado LDAP para validar las credenciales.
Con la contraseña NT, necesitaría ejecutar MSCHAPv2 como método de autenticación y usar algo como winbindd (samba) para unirse al dominio AD.
Sin embargo, el problema inmediato en su caso es que está utilizando CHAP, que solo proporciona una respuesta de desafío al servidor RADIUS.nola contraseña en texto claro. No existe ningún mecanismo de autenticación de backend en AD que admita la autenticación RADIUS CHAP, por lo que si desea que esto funcione, deberá convencer a su NAS (servidor de acceso a la red) para que realice PAP (para autenticación de texto sin cifrar con enlace autenticado) o MSCHAPv2 ( con autenticación basada en winbind).