FreeRadius 中的LDAP和MS-CHAP问题求救?

martinsun

我从FreeRadius的文档中看到ldap只支持PAP方式。且Sun Directory Server如果改用明码存放的话好像也不安全。不知道该怎样取舍了。我现在也郁闷呢。
如果有人知道请回复。

对了，楼主能否将sun iplanet Directory Server与FreeRadius的配置过程写一下呀，我的配置还没有通过呢。更郁闷了。

needham

iplanet directory server未做任何改动.
cisco 设置:
aaa authentication ppp default group radius
radiusd.conf主要配置:
ldap {
                server = "server.your.domain"
                basedn = "your basedn"
                start_tls = no
                tls_mode = no
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                password_attribute = userPassword
                timeout = 4
                timelimit = 3
                net_timeout = 1
        }
authorize {
      ldap
}


authenticate {
        authtype PAP {
                pap
        }

        authtype CHAP {
                chap
        }

        authtype MS-CHAP {
                mschap
        }
       authtype LDAP {
                ldap
        }
}

其他没有什么了

martinsun

我看文档上说不是还需要将RADIUS-LDAP.schema中的那些属性注册到directory server中吗？难道不用注册也行？那么属性的对应关系就要改成directory server中的属性名称了，是不?

martinsun

你提出来的那个问题也许需要设置一下password_header将其设置为{clear}

你有没有试验过用iplanet directory server中的动态过滤组来检查用户身份呢
我这边要创建一个radius的组，最好是根据用户的属性信息自动过滤得动态组
就是iplanet-am-managed-filtered-group，但是好像freeradius不支持
这种组，郁闷也。

needham

窃以为,RADIUS-LDAP.schema中所定义的属性,在简单的认证过程中是用不到的,我们的网络很简单,只供内部使用,所以一些复杂的RADIUS属性用不到,就没有用RADIUS-LDAP.schema.
我用的IPLANET DS 是4.X的,好象尚不支持动态组,生产环境又不敢擅自升级.似乎IPLANET DS 5.2以上才会支持动态组,叫JAVA ENTERPRISE SYSTEM 了.

needham

想了一下,直接用LDAP来验证MSCHAP是不可能的.因为MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个response,两个response相比较完成验证.
如果LDAP无法给出NTPASSWORD或送出SHA加密的NTPASSWORD,MS-CHAP就无法验证了.
唯一可行的办法是把LDAP的SCHEMA中加入NTPASSWORD域,并明文存放,才能满足MS-CHAP的要求.
但SUN 目录服务器的密码属性为userPassword,与NTPASSWORD不一致,本来想做到用户的密码属性一致,这样看来不容易做到了.
以上是freeradius0.9以前的版本的做法,0.9以后,MS-CHAP调用ntlm_auth这个SAMBA的命令,直接用challenge和response通过外部的域控制器来完成认证.这样与LDAP更无法联系了.
不知这样理解对不对?

对于网上很多的类似问题,freeradius的作者也生气了,他甚至打算去掉LDAP,他说:
You can't do MS-CHAP authentication
against LDAP.  You need to pull the password from the LDAP database,
and let the mschap module perform the authentication.

  I'm inclined to remove the LDAP authentication from future releases.
I don't see a real need for it, and it's confusing a lot of people.

zhaoshan

关注

mxh

我与楼主问题雷同!
我是想用802.1x来控制接入层交换机的端口认证.
接入交换机用的EAP,递交到radius上,eap模块
用的md5(其他的gtc,otp就更别想了),用户数据保存在
ldap中.因为是测试,仅仅用了最简单的属性控制,其他花样都
没采用.结果一路正常,到了最后一步,就要user-password了....

而我的接入交换机根本就不会发出带该属性的radius包,因为已经
说了,我们是用eap封装于eap-message属性中的.

现在都快搞崩溃了...

问下楼主,如果把认证信息放在MYSQL中,而不是LDAP中,
会不会好些??

zhaoshan

或许还有种方法： 就是让radius 到samba 中读取用户资料，并在samba提供mschap。samba再和ldap连接。这样行不行。我也没试过。