Я пытаюсь использовать модуль LDAP для аутентификации клиентов RADIUS в Active Directory, поэтому мне нужно, чтобы он действительно использовал LDAP в качестве аутентификатора. Однако, похоже, User-Password не устанавливается. Прежде всего, User-Password должен отправляться клиентом или внутренним сервером? Мой главный вопрос: что я делаю не так?
И да, я знаю, что логи кричат мне «не делай этого», но, читая файл readme, я понимаю, что это обычно хороший совет, но AD требует этого.
решение1
С AD у вас есть два варианта учетных данных: либо текстовый пароль, либо NT-пароль (MD4-хэш пароля). С текстовой аутентификацией вы можете использовать аутентифицированную привязку LDAP для проверки учетных данных.
При использовании NT-Password вам необходимо будет запустить MSCHAPv2 в качестве метода аутентификации и использовать что-то вроде winbindd (samba) для присоединения к домену AD.
Однако в вашем случае непосредственная проблема заключается в том, что вы используете CHAP, который предоставляет только ответ на вызов RADIUS-серверу.нетпароль в открытом тексте. В AD нет механизма внутренней аутентификации, который поддерживает аутентификацию RADIUS CHAP, поэтому, если вы хотите, чтобы это работало, вам нужно убедить ваш NAS (сервер сетевого доступа) выполнять либо PAP (для аутентификации в открытом тексте с аутентифицированной привязкой), либо MSCHAPv2 (с аутентификацией на основе winbind).