1 votes

Dessa Simpson avatar

Impossible d'authentifier radius par rapport à Active Directory

Demandé el 13 de Mars, 2018
Quand la question a-t-elle été
1292 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'utiliser le module LDAP pour authentifier les clients radius par rapport à Active Directory. Je dois donc faire en sorte qu'il utilise effectivement LDAP comme authentificateur. Cependant, il semble que User-Password ne soit pas défini. Tout d'abord, User-Password est-il censé être envoyé par le client ou par le serveur backend ? Ma question principale est la suivante : qu'est-ce que je fais mal ?

Et oui, je suis conscient que les journaux me crient "ne faites pas ça", mais en lisant le fichier readme, il semble que ce soit un bon conseil mais que AD l'exige.

Demandé el 13 de Mars, 2018 par Dessa Simpson

0 votes

Avatar de Arran Cudbard-Bell

Il est censé être envoyé par le client RADIUS, donc s'il n'est pas dans la requête entrante, votre authentification AD ne fonctionnera pas. Quel type d'authentification essayez-vous de faire ?

Commenté el 13 de Mars, 2018 par Arran Cudbard-Bell

0 votes

Avatar de Dessa Simpson

@Arran Cudbard-Bell J'essaie de faire le CHAP.

Commenté el 13 de Mars, 2018 par Dessa Simpson

Réponse

Trop de publicités?

1voto

Arran Cudbard-Bell avatar
Arran Cudbard-Bell Points 1504

Avec AD, vous avez deux options d'authentification, soit le mot de passe en clair, soit le mot de passe NT (hachage MD4 du mot de passe). Avec l'authentification en texte clair, vous pouvez utiliser un lien authentifié LDAP pour valider les informations d'identification.

Avec NT-Password, vous devrez utiliser MSCHAPv2 comme méthode d'authentification et utiliser quelque chose comme winbindd (samba) pour rejoindre le domaine AD.

Le problème immédiat dans votre cas est que vous utilisez CHAP, qui ne fournit qu'une réponse de défi au serveur RADIUS. no le mot de passe en clair. Il n'existe pas de mécanisme d'authentification dorsale dans AD qui prenne en charge l'authentification CHAP de RADIUS, donc si vous voulez que cela fonctionne, vous devrez convaincre votre NAS (Network Access Server) d'exécuter soit PAP (pour une authentification en clair avec liaison authentifiée), soit MSCHAPv2 (pour une authentification basée sur le winbind).

Répondu el 13 de Mars, 2018 par Arran Cudbard-Bell (1504 Points )

0 votes

Avatar de Dessa Simpson

Merci de votre réponse. Voici la perspective générale : Le NAS est un pare-feu avec un VPN L2TP/IPSec qui semble annoncer CHAP, puisque c'est ce que mon téléphone tente d'utiliser pour s'y connecter, mais il n'autorise PAP que pour les utilisateurs qu'il connaît via Active Directory. La solution consiste à configurer un serveur RADIUS pour s'authentifier par rapport à Active Directory, puisque le pare-feu prend en charge CHAP et MSCHAPv2 par rapport à RADIUS. Je voulais exécuter le serveur RADIUS sur le contrôleur de domaine, mais il semble que cela ne soit pas possible (puisque vous ne pouvez pas exécuter winbind sur un dc samba). Merci pour votre aide.

Commenté el 16 de Mars, 2018 par Dessa Simpson

0 votes

Avatar de Dessa Simpson

Ok, j'ai mal compris ton dernier paragraphe. Tu veux dire que CHAP est impossible contre AD ?

Commenté el 16 de Mars, 2018 par Dessa Simpson

0 votes

Avatar de Arran Cudbard-Bell

Correct, vous ne pouvez pas faire RADIUS CHAP contre AD. En effet, AD ne dispose pas du mot de passe en clair de l'utilisateur.

Commenté el 16 de Mars, 2018 par Arran Cudbard-Bell

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X