0

我想强制我们的办公室用户在连接到我们办公室的 WiFi 时输入他们的 LDAP 凭据。所以我按照以下说明安装了 FreeRadius: Using FreeIPA and FreeRadius

使用 radtest,我可以成功地使用 PAP 对我们的 FreeIPA 服务器进行身份验证。接下来,我在 Windows 10 笔记本电脑上配置了 WiFi 连接,以使用 EAP-TTLS 作为身份验证方法,同时选择 PAP 作为非 EAP 方法。当连接到 WiFi AP 时,我再次可以成功地通过我们的 FreeIPA 服务器进行身份验证。但我意识到这是不安全的,因为密码是以明文形式发送的。

所以接下来我在我的 Windows 10 笔记本电脑上配置了 WiFi 连接,以使用 PEAP 作为 EAP-MSCHAP v2 的 EAP 方法的身份验证方法。但现在身份验证失败。FreeRadius 调试日志的摘录显示:

(8) mschap: WARNING: No Cleartext-Password configured.  Cannot create NT-Password 
(8) mschap: WARNING: No Cleartext-Password configured.  Cannot create LM-Password 
(8) mschap: Creating challenge hash with username: test55 
(8) mschap: Client is using MS-CHAPv2 
(8) mschap: ERROR: FAILED: No NT/LM-Password.  Cannot perform authentication 
(8) mschap: ERROR: MS-CHAP2-Response is incorrect

我正在努力寻找解决方案。我在网上找到了 eap、mschap 和 ldap 文件的各种配置,但到目前为止我还没有解决我的问题。

我不确定我问的问题是否正确,但 Windows 客户端发送的密码哈希是否与 FreeIPA 使用的密码哈希不兼容?

4

1 回答 1

0

事实证明,mschapv2 是一个质询响应协议,它不适用于 FreeRadius 基本配置中的 LDAP 绑定。

但是我确实找到了一个解决方案,FreeRadius 通过他们的 LDAP DN 查找用户,然后读取(而不是绑定)用户的 NTHash。从那里,FreeRADIUS 能够处理质询响应。

必须首先授予服务帐户权限: https ://fy.blackhats.net.au/blog/html/2015/07/06/FreeIPA:_Giving_permissions_to_service_accounts..html

执行这些步骤后,用户需要更改密码才能生成 ipaNTHash。

然后配置 FreeRadius 以将 mschapv2 与 FreeIPA 一起使用: https ://fy.blackhats.net.au/blog/html/2016/01/13/FreeRADIUS:_Using_mschapv2_with_freeipa.html

完成两个链接中描述的所有步骤后,此 radtest cli 命令应返回 Access-Accept 响应。

radtest -t mschap <ldap-user-uid> <ldap-user-password> 127.0.0.1:1812 0 <FreeRadius-secret>
于 2020-04-20T21:39:03.677 回答