Instalei e configurei um servidor radius em meu host local - ele está delegando autenticação a um servidor LDAP remoto.
Inicialmente as coisas parecem boas: posso testar através do console:
# export user=skemp
# export pass=xxx
# radtest $user $pass localhost 1812 $secret
Sending Access-Request of id 185 to 127.0.0.1 port 1812
User-Name = "skemp"
User-Password = "xxx"
NAS-IP-Address = 192.168.1.168
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=185,
Da mesma forma, posso usar a ferramenta de login para fazer a mesma coisa:
bash-4.0# /usr/libexec/auth/login_radius -d -s login $user radius
Password: $pass
authorize
No entanto, os logins remotos via SSH estão falhando, assim como as invocações de "login" iniciadas pelo root. Olhando para /var/log/radiusd.log não vejo nenhum registro real de sucesso/falha que vejo ao usar qualquer uma das ferramentas anteriores.
Em vez disso, o sshd está apenas registrando:
sshd[23938]: Failed publickey for skemp from 192.168.1.9
sshd[23938]: Failed keyboard-interactive for skemp from 192.168.1.9 port 36259 ssh2
sshd[23938]: Failed password for skemp from 192.168.1.9 port 36259 ssh2
Em /etc/login.conf eu tenho isto:
# Default allowed authentication styles
auth-defaults:auth=radius:
...
radius:\
:auth=radius:\
:radius-server=localhost:\
:radius-port=1812:\
:radius-timeout=1:\
:radius-retries=5:
Responder1
Tive problemas semelhantes ao configurar o OpenBSD para delegar autenticações a um servidor ldap. A única maneira de fazê-lo funcionar foi adicionando um usuário ao banco de dados local, por exemplo
useradd -s /bin/ksh -L ldap novo_usuário
No seu caso, seria algo como
useradd -s /bin/ksh -L raio novo_usuário2
No entanto, como é necessário criar manualmente uma entrada de usuário para cada máquina que usa ldap para autenticação, isso prejudicaria a necessidade de um servidor de autenticação ldap centralizado. Também estou sem ideias.