Как зашифровать пароль пользователя в Freeradius

Question 1

Суммируя,

Вам необходимо указать формат хэша пароля вместо Cleartext-Password, и
Вам необходимо установить auth_goodpassзначение auth_badpass«нет», чтобы запретить регистрацию паролей.

Указание формата хэша

Как описано вСтраница руководства rlm_pap, существует ряд настроек хэша пароля, которые можно использовать вместо Cleartext-Password. Давайте рассмотрим простой пример MD5-Password:

#bob    Cleartext-Password := "hello"
bob     MD5-Password:= "7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Hello, %{User-Name}"

Вы можете легко сгенерировать хеш пароля md5 следующим образом:

$ echo -n world | md5sum | awk '{print $1}'
7d793037a0760186574b0282f2f435e7
$

Когда мы тестируем это на нашем сервере, мы видим, что он проходит аутентификацию:

$ radtest bob world localhost 1 testing123
Sent Access-Request Id 214 from 0.0.0.0:34920 to 127.0.0.1:1812 length 73
        User-Name = "bob"
        User-Password = "world"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1
        Message-Authenticator = 0x00
        Cleartext-Password = "world"
Received Access-Accept Id 214 from 127.0.0.1:1812 to 127.0.0.1:34920 length 32
        Reply-Message = "Hello, bob"

Вы также можете указать свой хэш с помощью общей Password-With-Headerопции:

#bob    Cleartext-Password := "hello"
bob     Password-With-Header := "{md5}7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Hello, %{User-Name}"

Это имеет тот же эффект, что MD5-Passwordи версия. Список принятых заголовков находится на этой страницеrlm_papстраница руководства.

Один из самых интересных доступных заголовков заключается в Crypt-Passwordтом, что он будет запускать хэши паролей через libcrypt и, следовательно, будет работать с любыми хэшами, которые вы найдете в /etc/shadow. Например, в системе Debian хэши yescrypt:

bob     Crypt-Password := "$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8"
        Reply-Message := "Hello, %{User-Name}"

(Пароль в данном случае a38sgena)

Отключение регистрации паролей

Чтобы отключить регистрацию паролей, найдите параметры auth_goodpassи auth_badpassв radiusd.confфайле:

#  Log passwords with the authentication requests.
#  auth_badpass  - logs password if it's rejected
#  auth_goodpass - logs password if it's correct
#
#  allowed values: {no, yes}
#
auth_badpass = no
auth_goodpass = no

Убедитесь, что для этих параметров установлено значение «нет», и пароли больше не будут записываться в журнал.

Answer

Суммируя,

Вам необходимо указать формат хэша пароля вместо Cleartext-Password, и
Вам необходимо установить auth_goodpassзначение auth_badpass«нет», чтобы запретить регистрацию паролей.

Указание формата хэша

Как описано вСтраница руководства rlm_pap, существует ряд настроек хэша пароля, которые можно использовать вместо Cleartext-Password. Давайте рассмотрим простой пример MD5-Password:

#bob    Cleartext-Password := "hello"
bob     MD5-Password:= "7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Hello, %{User-Name}"

Вы можете легко сгенерировать хеш пароля md5 следующим образом:

$ echo -n world | md5sum | awk '{print $1}'
7d793037a0760186574b0282f2f435e7
$

Когда мы тестируем это на нашем сервере, мы видим, что он проходит аутентификацию:

$ radtest bob world localhost 1 testing123
Sent Access-Request Id 214 from 0.0.0.0:34920 to 127.0.0.1:1812 length 73
        User-Name = "bob"
        User-Password = "world"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1
        Message-Authenticator = 0x00
        Cleartext-Password = "world"
Received Access-Accept Id 214 from 127.0.0.1:1812 to 127.0.0.1:34920 length 32
        Reply-Message = "Hello, bob"

Вы также можете указать свой хэш с помощью общей Password-With-Headerопции:

#bob    Cleartext-Password := "hello"
bob     Password-With-Header := "{md5}7d793037a0760186574b0282f2f435e7"
        Reply-Message := "Hello, %{User-Name}"

Это имеет тот же эффект, что MD5-Passwordи версия. Список принятых заголовков находится на этой страницеrlm_papстраница руководства.

Один из самых интересных доступных заголовков заключается в Crypt-Passwordтом, что он будет запускать хэши паролей через libcrypt и, следовательно, будет работать с любыми хэшами, которые вы найдете в /etc/shadow. Например, в системе Debian хэши yescrypt:

bob     Crypt-Password := "$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8"
        Reply-Message := "Hello, %{User-Name}"

(Пароль в данном случае a38sgena)

Отключение регистрации паролей

Чтобы отключить регистрацию паролей, найдите параметры auth_goodpassи auth_badpassв radiusd.confфайле:

#  Log passwords with the authentication requests.
#  auth_badpass  - logs password if it's rejected
#  auth_goodpass - logs password if it's correct
#
#  allowed values: {no, yes}
#
auth_badpass = no
auth_goodpass = no

Убедитесь, что для этих параметров установлено значение «нет», и пароли больше не будут записываться в журнал.

Question 2

Вот список атрибутов, соответствующих методу хеширования:https://freeradius.org/radiusd/man/rlm_pap.txt

Header          Attribute           Description
------          ---------           -----------
{clear}         Cleartext-Password  Clear-text passwords
{cleartext}     Cleartext-Password  Clear-text passwords
{crypt}         Crypt-Password      Unix-style "crypt"ed passwords
{md5}           MD5-Password        MD5 hashed passwords
{base64_md5}    MD5-Password        MD5 hashed passwords
{smd5}          SMD5-Password       MD5 hashed passwords, with a salt
{sha}           SHA-Password        SHA1 hashed passwords
                SHA1-Password       SHA1 hashed passwords
{ssha}          SSHA-Password       SHA1 hashed passwords, with a salt
{sha2}          SHA2-Password       SHA2 hashed passwords
{sha224}        SHA2-Password       SHA2 hashed passwords
{sha256}        SHA2-Password       SHA2 hashed passwords
{sha384}        SHA2-Password       SHA2 hashed passwords
{sha512}        SHA2-Password       SHA2 hashed passwords
{ssha224}       SSHA2-224-Password  SHA2 hashed passwords, with a salt
{ssha256}       SSHA2-256-Password  SHA2 hashed passwords, with a salt
{ssha384}       SSHA2-384-Password  SHA2 hashed passwords, with a salt
{ssha512}       SSHA2-512-Password  SHA2 hashed passwords, with a salt
{nt}            NT-Password         Windows NT hashed passwords
{nthash}        NT-Password         Windows NT hashed passwords
{md4}           NT-Password         Windows NT hashed passwords
{x-nthash}      NT-Password         Windows NT hashed passwords
{ns-mta-md5}    NS-MTA-MD5-Password Netscape MTA MD5 hashed passwords
{x- orcllmv}    LM-Password         Windows LANMAN hashed passwords
{X- orclntv}    NT-Password         Windows NT hashed passwords

Не забывайте, что протокол и метод, которые вы используете для аутентификации клиента, будут влиять на то, какой метод хеширования вы можете использовать.

Вы можете найти таблицу, которую я использовал для настройки моего сервера Freeradius для совместимости протокола и пароля:http://deployingradius.com/documents/protocols/compatibility.html

Для генерации пароля с солью sha256 я использовал следующий скрипт на github (вам нужно отредактировать последние 2 строки, чтобы изменить пароль и соль):https://gist.github.com/bestrocker221/f506eee8ccadc60cab71d5f633b7cc07

Answer

Вот список атрибутов, соответствующих методу хеширования:https://freeradius.org/radiusd/man/rlm_pap.txt

Header          Attribute           Description
------          ---------           -----------
{clear}         Cleartext-Password  Clear-text passwords
{cleartext}     Cleartext-Password  Clear-text passwords
{crypt}         Crypt-Password      Unix-style "crypt"ed passwords
{md5}           MD5-Password        MD5 hashed passwords
{base64_md5}    MD5-Password        MD5 hashed passwords
{smd5}          SMD5-Password       MD5 hashed passwords, with a salt
{sha}           SHA-Password        SHA1 hashed passwords
                SHA1-Password       SHA1 hashed passwords
{ssha}          SSHA-Password       SHA1 hashed passwords, with a salt
{sha2}          SHA2-Password       SHA2 hashed passwords
{sha224}        SHA2-Password       SHA2 hashed passwords
{sha256}        SHA2-Password       SHA2 hashed passwords
{sha384}        SHA2-Password       SHA2 hashed passwords
{sha512}        SHA2-Password       SHA2 hashed passwords
{ssha224}       SSHA2-224-Password  SHA2 hashed passwords, with a salt
{ssha256}       SSHA2-256-Password  SHA2 hashed passwords, with a salt
{ssha384}       SSHA2-384-Password  SHA2 hashed passwords, with a salt
{ssha512}       SSHA2-512-Password  SHA2 hashed passwords, with a salt
{nt}            NT-Password         Windows NT hashed passwords
{nthash}        NT-Password         Windows NT hashed passwords
{md4}           NT-Password         Windows NT hashed passwords
{x-nthash}      NT-Password         Windows NT hashed passwords
{ns-mta-md5}    NS-MTA-MD5-Password Netscape MTA MD5 hashed passwords
{x- orcllmv}    LM-Password         Windows LANMAN hashed passwords
{X- orclntv}    NT-Password         Windows NT hashed passwords

Не забывайте, что протокол и метод, которые вы используете для аутентификации клиента, будут влиять на то, какой метод хеширования вы можете использовать.

Вы можете найти таблицу, которую я использовал для настройки моего сервера Freeradius для совместимости протокола и пароля:http://deployingradius.com/documents/protocols/compatibility.html

Для генерации пароля с солью sha256 я использовал следующий скрипт на github (вам нужно отредактировать последние 2 строки, чтобы изменить пароль и соль):https://gist.github.com/bestrocker221/f506eee8ccadc60cab71d5f633b7cc07

Как зашифровать пароль пользователя в Freeradius

решение1

Указание формата хэша

Отключение регистрации паролей

решение2

Связанный контент