無法針對活動目錄驗證半徑

我正在嘗試使用 LDAP 模組對活動目錄的半徑客戶端進行身份驗證，因此我需要讓它實際使用 LDAP 作為身份驗證器。但是，似乎沒有設置使用者密碼。首先，使用者密碼應該由客戶端還是後端伺服器發送？我的主要問題是，我做錯了什麼？

是的，我知道日誌在向我尖叫“不要這樣做”，但閱讀自述文件似乎這通常是個好建議，但 AD 需要這樣做。

使用 AD，您有兩個憑據選項，明文密碼或 NT-Password（密碼的 MD4 雜湊）。使用純文字身份驗證，您可以使用 LDAP 身份驗證綁定來驗證憑據。

使用 NT-Password，您需要執行 MSCHAPv2 作為身份驗證方法，並使用諸如 winbindd (samba) 之類的東西來加入 AD 域。

但是，在您的情況下，最直接的問題是您使用的是 CHAP，它僅向 RADIUS 伺服器提供質詢響應，而不是明文密碼。AD 中沒有支持 RADIUS CHAP 身份驗證的後端身份驗證機制，因此如果您希望它能夠正常工作，您需要說服您的 NAS（網路訪問伺服器）執行 PAP（用於經過身份驗證綁定的明文身份驗證）或 MSCHAPv2（用於基於 winbind 的身份驗證）。

引用自：https://serverfault.com/questions/901323