Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики паролей в организации. Так чтобы пароли были действительны в течении 90 дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы политики паролей в Active Directory windows.
Возможно ли это внедрить на FreeRadius?
> Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на
> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
> паролей в организации. Так чтобы пароли были действительны в течении 90
> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
> политики паролей в Active Directory windows.
> Возможно ли это внедрить на FreeRadius?http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... не?
В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в статье ниже(не читал)
http://www.howtoforge.com/authentication-authorization-and-a...
>[оверквотинг удален]
>> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
>> паролей в организации. Так чтобы пароли были действительны в течении 90
>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>> политики паролей в Active Directory windows.
>> Возможно ли это внедрить на FreeRadius?
> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
> не?
> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
> статье ниже(не читал)
> http://www.howtoforge.com/authentication-authorization-and-a...Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование passwd в freeradius. Но не получается. Может кто сталкивался?
>[оверквотинг удален]
>>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>>> политики паролей в Active Directory windows.
>>> Возможно ли это внедрить на FreeRadius?
>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>> не?
>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>> статье ниже(не читал)
>> http://www.howtoforge.com/authentication-authorization-and-a...
> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
> passwd в freeradius. Но не получается. Может кто сталкивался?Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить так, чтобы при входе по vty на Cisco выдавалось сообщение с просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
>[оверквотинг удален]
>>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>>> не?
>>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>>> статье ниже(не читал)
>>> http://www.howtoforge.com/authentication-authorization-and-a...
>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>> passwd в freeradius. Но не получается. Может кто сталкивался?
> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
> так, чтобы при входе по vty на Cisco выдавалось сообщение с
> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?Я не могу проверить и протестиь сейчас, но путем гугления нашел:
http://lists.freeradius.org/pipermail/freeradius-users/2009-...только вот как написать в терминале что пароль скоро проэкспарится я хз.
>[оверквотинг удален]
>>>> статье ниже(не читал)
>>>> http://www.howtoforge.com/authentication-authorization-and-a...
>>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>>> passwd в freeradius. Но не получается. Может кто сталкивался?
>> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
>> так, чтобы при входе по vty на Cisco выдавалось сообщение с
>> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
> Я не могу проверить и протестиь сейчас, но путем гугления нашел:
> http://lists.freeradius.org/pipermail/freeradius-users/2009-...
> только вот как написать в терминале что пароль скоро проэкспарится я хз.http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/confi...
Посмотрите в сторону Reply-Message атрибут, возможно оно сработает. Генерить этот этрибут можно подключив perl модуль например, в нем будет парсится файло и на основании этого анализироваться кол-во дней, которое осталось до смены пароля.
Привет,"Протухание", как выразился коллега выше, легче всего настроить на своем собственном модуле автентикации. Давно не работал с FreeRADIUS, во время оно все модули для него нужно было на С писать. Лично я пользуюсь очень стареньким XtRADIUS, который по сути есть Cistron с патчем, позволяющий передать автентикацию внешнему процессу, напр., Perl скрипту; если скрипт вернет 0, автентикация ОК, иначе фэйл; если скрипт хочет передать пары "аттрибут-значение", он их просто пишет на stdout.
Что касается замены пароля через RADIUS, этот функционал зависит от самого клиента; например, если клиент pppd, то замена пароля будет работать на MS-CHAP, но не будет работать на PAP и пр. Насчет кошки придется проверять на месте умеет ли она такое или нет.
WWell,