ヴぁーちゃるぷらいべーとねっとわーく

なるほど。

YAMAHAのRTX-1200の認証バックエンドとしてRADIUS認証を使った場合、PAP認証かCHAP認証しか通らないと。
で、FreeRADIUSのバックエンドとしてOpenLDAPを使った場合、’userPassword’ Attributeを平文で保存してればCHAP認証が使えるけど、SSHAとかでハッシュ化して保存している場合、ハッシュ->CHAPができないので、必然的にPAP認証しか使えないと。
FreeRADIUSでMSCHAP認証が通るように小一時間苦労したけど、水の泡。
まぁ、勉強にはなった。

ちなみに RTX-1200に pp auth request mschap とか pp auth request mschap-v2 のコンフィグ入れた場合の挙動として、RADIUSサーバへ投げられる認証パケットはCHAPになってました。

一応、備忘録としてFreeRADIUS3でLDAP+MSCHAPなやり方。

昨日、OpenLDAPにsamba.schema追加して、SMB(SAMBA)の認証バックエンドとしてOpenLDAPを使えるようにしたけど、それがまず前提っぽい。
sambaNTPasswordとかsambaLMPassword Attributeがあること。
smbldap-toolわけわかめだった。。。
で、昔のSAMBAの場合、ntPasswordとかlmPasswordアトリビュートだったみたいだけど、上記のアトリビュートに変わった見たい。
FreeRADIUSのコンフィグ上に下記を追加すべし(追記内容のみ記述。)。

LM-Passwordは要らないかも。
FreeBSDのPortsから入れると、/usr/local/etc/raddb/mods-available/ldap。
FreeRADIUS2の場合は、attrmapで同じことをやるみたい。

たぶんこれだけ〜。

コメントを残す