내 로컬 호스트에 반경 서버를 설치하고 구성했습니다. 이는 원격 LDAP 서버에 인증을 위임하고 있습니다.
처음에는 상황이 좋아 보입니다. 콘솔을 통해 테스트할 수 있습니다.
# export user=skemp
# export pass=xxx
# radtest $user $pass localhost 1812 $secret
Sending Access-Request of id 185 to 127.0.0.1 port 1812
User-Name = "skemp"
User-Password = "xxx"
NAS-IP-Address = 192.168.1.168
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=185,
마찬가지로 로그인 도구를 사용하여 동일한 작업을 수행할 수 있습니다.
bash-4.0# /usr/libexec/auth/login_radius -d -s login $user radius
Password: $pass
authorize
그러나 SSH를 통한 원격 로그인은 실패하며 루트에서 시작되는 "로그인" 호출도 실패합니다. /var/log/radiusd.log를 보면 이전 도구 중 하나를 사용할 때 볼 수 있었던 실제 성공/실패 로그가 표시되지 않습니다.
대신 sshd는 로깅만 수행합니다.
sshd[23938]: Failed publickey for skemp from 192.168.1.9
sshd[23938]: Failed keyboard-interactive for skemp from 192.168.1.9 port 36259 ssh2
sshd[23938]: Failed password for skemp from 192.168.1.9 port 36259 ssh2
/etc/login.conf에는 다음이 있습니다.
# Default allowed authentication styles
auth-defaults:auth=radius:
...
radius:\
:auth=radius:\
:radius-server=localhost:\
:radius-port=1812:\
:radius-timeout=1:\
:radius-retries=5:
답변1
인증을 LDAP 서버에 위임하기 위해 OpenBSD를 구성하는 것과 비슷한 문제가 있었습니다. 내가 작동하게 할 수 있는 유일한 방법은 로컬 DB에 사용자를 추가하는 것이었습니다.
useradd -s /bin/ksh -L ldap new_user
귀하의 경우에는 다음과 같습니다.
useradd -s /bin/ksh -L 반경 new_user2
그러나 인증을 위해 LDAP를 사용하는 각 시스템에 대해 사용자 항목을 수동으로 생성해야 하므로 중앙 집중식 LDAP 인증 서버의 필요성이 약화됩니다. 나는 또한 아이디어가 부족합니다.