Active-Directory
無法針對活動目錄驗證半徑
我正在嘗試使用 LDAP 模組對活動目錄的半徑客戶端進行身份驗證,因此我需要讓它實際使用 LDAP 作為身份驗證器。但是,似乎沒有設置使用者密碼。首先,使用者密碼應該由客戶端還是後端伺服器發送?我的主要問題是,我做錯了什麼?
是的,我知道日誌在向我尖叫“不要這樣做”,但閱讀自述文件似乎這通常是個好建議,但 AD 需要這樣做。
使用 AD,您有兩個憑據選項,明文密碼或 NT-Password(密碼的 MD4 雜湊)。使用純文字身份驗證,您可以使用 LDAP 身份驗證綁定來驗證憑據。
使用 NT-Password,您需要執行 MSCHAPv2 作為身份驗證方法,並使用諸如 winbindd (samba) 之類的東西來加入 AD 域。
但是,在您的情況下,最直接的問題是您使用的是 CHAP,它僅向 RADIUS 伺服器提供質詢響應,而不是明文密碼。AD 中沒有支持 RADIUS CHAP 身份驗證的後端身份驗證機制,因此如果您希望它能夠正常工作,您需要說服您的 NAS(網路訪問伺服器)執行 PAP(用於經過身份驗證綁定的明文身份驗證)或 MSCHAPv2(用於基於 winbind 的身份驗證)。