Estou tentando usar o módulo LDAP para autenticar clientes radius no Active Directory, então preciso que ele realmente use o LDAP como autenticador. No entanto, parece que a senha do usuário não está sendo definida. Em primeiro lugar, a senha do usuário deve ser enviada pelo cliente ou pelo servidor back-end? Minha principal pergunta é: o que estou fazendo de errado?
E sim, estou ciente de que os logs estão gritando "não faça isso" para mim, mas lendo o leia-me, parece que geralmente é um bom conselho, mas o AD exige isso.
Responder1
Com o AD você tem duas opções de credenciais, a senha em texto simples ou a senha NT (hash MD4 da senha). Com a autenticação de texto simples, você pode usar uma ligação autenticada LDAP para validar as credenciais.
Com a senha NT, você precisará executar o MSCHAPv2 como método de autenticação e usar algo como winbindd (samba) para ingressar no domínio AD.
O problema imediato no seu caso, entretanto, é que você está usando o CHAP, que fornece apenas uma resposta de desafio ao servidor RADIUSnãoa senha em texto não criptografado. Não há mecanismo de autenticação de back-end no AD que suporte autenticação RADIUS CHAP, portanto, se quiser que isso funcione, você precisará convencer seu NAS (servidor de acesso à rede) a executar PAP (para autenticação de texto não criptografado com ligação autenticada) ou MSCHAPv2 ( com para autenticação baseada em winbind).