如何將 RADIUS 與 Kerberos 集成？

我們已經在有線網路上正確配置了 LDAP+Kerberos。

現在我們希望我們的使用者使用他們的正常憑據登錄到我們的 WiFi 網路。我發現了很多關於 LDAP+RADIUS 的 HOWTOS，但其中沒有一個提到 Kerberos。誰能給我指出一個關於將 RADIUS 與 Kerberos 集成的好方法？我在 Usenet 上只找到了這篇短文和一些非資訊性文章。

編輯：系統是使用 OpenLDAP 和 Heimdal (Kerberos) 的 Gentoo Linux。WiFi 硬體是幾個帶有 OpenWRT 的 Linksys WRT54GL。

這可以在KCRAP的幫助下使用 802.1x - PEAP-MSCHAP 到 MIT 的 kerberos 來完成。最初開發是為了允許 Samba 使用者使用 NTLM 對 kerberos 進行身份驗證，它的庫可以在 freeradius 中用於對 NTLM 雜湊進行所需的驗證。

此解決方案要求您能夠輕鬆地執行和維護自定義軟體。實施的粗略步驟是：

1. 將arcfour-hmac:normal密碼雜湊添加到您的 KDB。使用者必須更新他們的密碼才能為 NTLM 創建所需的雜湊值。
2. 建構並安裝 kcrapd 守護程序以在 KDB(s) 上執行以查找使用者雜湊。
3. 在您的 RADIUS 伺服器上建構、安裝和配置 kcrap-libs。
4. 為您的 radius 伺服器建構一個身份驗證模組，該模組與 kcrap-libs 介面以對使用者進行身份驗證。

我們為帶有 Windows 設備的整個校園執行此解決方案，使用它們的本機 AD 憑據針對我們同步的 KDB 自動進行身份驗證。

引用自：https://serverfault.com/questions/206054