我正在嘗試使用 LDAP 模組根據活動目錄對 Radius 用戶端進行身份驗證,因此我需要讓它實際使用 LDAP 作為身份驗證器。但是,似乎用戶密碼尚未設定。首先,User-Password應該由客戶端發送還是後端伺服器發送?我的主要問題是,我做錯了什麼?
是的,我知道日誌正在對我尖叫“不要這樣做”,但是閱讀自述文件似乎這通常是很好的建議,但 AD 需要這樣做。
答案1
使用 AD,您有兩個憑證選項:純文字密碼或 NT 密碼(密碼的 MD4 雜湊值)。透過純文字驗證,您可以使用 LDAP 驗證綁定來驗證憑證。
使用 NT 密碼,您需要執行 MSCHAPv2 作為驗證方法,並使用 winbindd (samba) 等工具來加入 AD 網域。
然而,您的情況中最直接的問題是您正在使用 CHAP,它只向 RADIUS 伺服器提供質詢回應不是明文密碼。 AD 中沒有支援RADIUS CHAP 驗證的後端驗證機制,因此如果您希望此功能正常運作,您需要說服NAS(網路存取伺服器)執行PAP(用於經過驗證的綁定的明文驗證)或MSCHAPv2(用於基於 winbind 的身份驗證)。