Linux
如何將 RADIUS 與 Kerberos 集成?
我們已經在有線網路上正確配置了 LDAP+Kerberos。
現在我們希望我們的使用者使用他們的正常憑據登錄到我們的 WiFi 網路。我發現了很多關於 LDAP+RADIUS 的 HOWTOS,但其中沒有一個提到 Kerberos。誰能給我指出一個關於將 RADIUS 與 Kerberos 集成的好方法?我在 Usenet 上只找到了這篇短文和一些非資訊性文章。
編輯:系統是使用 OpenLDAP 和 Heimdal (Kerberos) 的 Gentoo Linux。WiFi 硬體是幾個帶有 OpenWRT 的 Linksys WRT54GL。
這可以在KCRAP的幫助下使用 802.1x - PEAP-MSCHAP 到 MIT 的 kerberos 來完成。最初開發是為了允許 Samba 使用者使用 NTLM 對 kerberos 進行身份驗證,它的庫可以在 freeradius 中用於對 NTLM 雜湊進行所需的驗證。
此解決方案要求您能夠輕鬆地執行和維護自定義軟體。實施的粗略步驟是:
- 將
arcfour-hmac:normal
密碼雜湊添加到您的 KDB。使用者必須更新他們的密碼才能為 NTLM 創建所需的雜湊值。- 建構並安裝 kcrapd 守護程序以在 KDB(s) 上執行以查找使用者雜湊。
- 在您的 RADIUS 伺服器上建構、安裝和配置 kcrap-libs。
- 為您的 radius 伺服器建構一個身份驗證模組,該模組與 kcrap-libs 介面以對使用者進行身份驗證。
我們為帶有 Windows 設備的整個校園執行此解決方案,使用它們的本機 AD 憑據針對我們同步的 KDB 自動進行身份驗證。