OpenForum RSS: freeradius + ldap + mschap https://www.opennet.ru/openforum/vsluhforumID1/96098.html Добрый день.<br><br>Помогите пожалуйста подружить freeradius2 + chap/mschapv2.<br>Цель: что бы при подключении к vpn-серверу, который авторизует пользователей через radius в ldap, пароль не передавался в открытом виде.<br><br>Конфиги freeradius2:<br><br>radius.conf<br><br>prefix = /usr<br>exec_prefix = /usr<br>sysconfdir = /etc<br>localstatedir = /var<br>sbindir = /usr/sbin<br>logdir = ${localstatedir}/log/radius<br>raddbdir = ${sysconfdir}/raddb<br>radacctdir = ${logdir}/radacct<br>name = radiusd<br>confdir = ${raddbdir}<br>run_dir = ${localstatedir}/run/${name}<br>db_dir = ${raddbdir}<br>libdir = /usr/lib64/freeradius<br>pidfile = ${run_dir}/${name}.pid<br>user = radiusd<br>group = radiusd<br>max_request_time = 30<br>cleanup_delay = 5<br>max_requests = 1024<br>listen {<br> type = auth<br> ipaddr = *<br> port = 0<br>}<br>listen {<br> ipaddr = *<br> port = 0<br> type = acct<br>}<br>hostname_lookups = no<br>allow_core_dumps = no<br>regular_expressions = yes<br>extended_expressions = yes<br>log {<br> destination = files<br> file = ${logdir}/radius.log<br> syslog_fac freeradius + ldap + mschap (letnab) https://www.opennet.ru/openforum/vsluhforumID1/96098.html#5 Thu, 30 Jun 2016 06:10:14 GMT &gt;&gt; вы либо должны хранить пароль в LDAP в cleartext либо NT-Password -- <br>&gt;&gt; иначе авторизация не реальна в принципе, что вообще-то должно быть понятно <br>&gt;&gt; -- ибо mschap -- это challenge-response а к S/SHA -- челенж <br>&gt;&gt; mschap'а никак не прикрутить, даже если сильно захотеть.<br>&gt; Большое спасибо!<br>&gt; Проблема и правда была в том, что ldap хранил пароли в шифрованном <br>&gt; виде.<br>&gt; Подскажите пожалуйста, а есть какие-то варианты настройки связки vpn+radius+ldap, но при <br>&gt; условии, что бы пароли в открытом виде вообще нигде не фигурировали <br>&gt; и не передавались?<br><br>nettro, есть вопрос<br> freeradius + ldap + mschap (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID1/96098.html#4 Mon, 27 Apr 2015 09:35:12 GMT &gt;&gt; Большое спасибо!<br>&gt;&gt; Проблема и правда была в том, что ldap хранил пароли в шифрованном <br>&gt;&gt; виде.<br>&gt;&gt; Подскажите пожалуйста, а есть какие-то варианты настройки связки vpn+radius+ldap, но при <br>&gt;&gt; условии, что бы пароли в открытом виде вообще нигде не фигурировали <br>&gt;&gt; и не передавались?<br>&gt; ды я же уже сказал, что для того что-бы работал mschap и <br>&gt; не cleartext -- то нужно хранить пароли в виже nt-password <br><br>Не, не так. Чтобы пароли не _передавались и не _хранились открытым текстом, надо же сделать беспарольную/пусто-парольную [не-]авторизацию.<br><br>Ну или чтобы демон расшифровывал зашифрованные на диске открыто-текстовые пароли только в память при запуске (как при полном шифровании всего диска, например). Но таких демонов не существует, вроде.<br> freeradius + ldap + mschap (pavel_simple) https://www.opennet.ru/openforum/vsluhforumID1/96098.html#3 Mon, 27 Apr 2015 09:27:21 GMT &gt;&gt; вы либо должны хранить пароль в LDAP в cleartext либо NT-Password -- <br>&gt;&gt; иначе авторизация не реальна в принципе, что вообще-то должно быть понятно <br>&gt;&gt; -- ибо mschap -- это challenge-response а к S/SHA -- челенж <br>&gt;&gt; mschap'а никак не прикрутить, даже если сильно захотеть.<br>&gt; Большое спасибо!<br>&gt; Проблема и правда была в том, что ldap хранил пароли в шифрованном <br>&gt; виде.<br>&gt; Подскажите пожалуйста, а есть какие-то варианты настройки связки vpn+radius+ldap, но при <br>&gt; условии, что бы пароли в открытом виде вообще нигде не фигурировали <br>&gt; и не передавались?<br><br>ды я же уже сказал, что для того что-бы работал mschap и не cleartext -- то нужно хранить пароли в виже nt-password<br>вот тут напрамер можно взглянуть схемы http://freeradius.org/radiusd/man/rlm_pap.txt<br> freeradius + ldap + mschap (nettro) https://www.opennet.ru/openforum/vsluhforumID1/96098.html#2 Mon, 27 Apr 2015 09:18:19 GMT <br>&gt; вы либо должны хранить пароль в LDAP в cleartext либо NT-Password -- <br>&gt; иначе авторизация не реальна в принципе, что вообще-то должно быть понятно <br>&gt; -- ибо mschap -- это challenge-response а к S/SHA -- челенж <br>&gt; mschap'а никак не прикрутить, даже если сильно захотеть.<br><br>Большое спасибо!<br>Проблема и правда была в том, что ldap хранил пароли в шифрованном виде.<br><br>Подскажите пожалуйста, а есть какие-то варианты настройки связки vpn+radius+ldap, но при условии, что бы пароли в открытом виде вообще нигде не фигурировали и не передавались?<br> freeradius + ldap + mschap (pavel_simple) https://www.opennet.ru/openforum/vsluhforumID1/96098.html#1 Wed, 22 Apr 2015 13:44:21 GMT <br><br>вы либо должны хранить пароль в LDAP в cleartext либо NT-Password -- иначе авторизация не реальна в принципе, что вообще-то должно быть понятно -- ибо mschap -- это challenge-response а к S/SHA -- челенж mschap'а никак не прикрутить, даже если сильно захотеть.<br>