The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenLDAP+FreeRADIUS. PAP vs. CHAP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от Martes (ok) on 03-Дек-12, 17:46 
Всем привет!

В наследство от предыдущего системного администратора мне досталась связка OpenLDAP+FreeRADIUS (slapd+radiusd). Используется, в частности, для аутентификации пользователей VPN (MPD5).

Проблема в том, что для некоторых LDAP-пользователей (в основном - новых) аутентификация для VPN не работает и есть несколько признаков, что проблему создает FreeRADIUS или связка OpenLDAP+FreeRADIUS.

Для одного из таких пользователей я обнаружил, что он может или не может аутентифицироваться через radtest в зависимости от метода аутентификации (PAP или CHAP):


# radtest -t mschap atest qwerty7 127.0.0.1:1812 0 testing123
Sending Access-Request of id 236 to 127.0.0.1 port 1812
User-Name = "atest"
NAS-IP-Address = 10.10.10.10
NAS-Port = 0
MS-CHAP-Challenge = 0xb4e58ba4a910afba
MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000051162f3f96df8e7e42da05029a7c1a501d16a2ba0faae307
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=236, length=20
# radtest -t pap atest qwerty7 127.0.0.1:1812 0 testing123
Sending Access-Request of id 187 to 127.0.0.1 port 1812
User-Name = "atest"
User-Password = "qwerty7"
NAS-IP-Address = 10.10.10.10
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=187, length=20

При этом в логах OpenLDAP в нескольких вариантах логирования для PAP и CHAP все выглядит одинаково. Есть старые пользователи, для которых аутентифакация в radtest проходит нормально независимо от PAP и CHAP. Естественно, что по всем параметрам, которые я мог вообразить, постарался сделать пользователя atest максимально одинаковым с пользователями, у которых все работает.

Прошу подсказать, куда можно копать, чтобы atest мог нормально аутентифицироваться независимо от PAP и CHAP.

Заранее спасибо тем, кто ответит.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ALex_hha (ok) on 03-Дек-12, 19:01 
PAP вообще зло, его надо явно запрещать, CHAP только v2. Запусти radius в дебаг режиме и смотри что там
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от Martes (ok) on 04-Дек-12, 13:06 
> ... Запусти radius
> в дебаг режиме и смотри что там

ALex_hha, помогло! По дебагу я довольно быстро все понял: надо было новым юзерам в LDAP включить расширения для Самбы, чтобы M$chap заработал :)

Спасибо!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ComBin (ok) on 23-Янв-13, 01:25 
Столкнулся с такой же проблемой. Подскажите пожалуйста что вы имели в виду под
> надо было новым юзерам в LDAP включить расширения для Самбы, чтобы M$chap заработал :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ALex_hha (ok) on 23-Янв-13, 12:30 
> Столкнулся с такой же проблемой. Подскажите пожалуйста что вы имели в виду
> под
>> надо было новым юзерам в LDAP включить расширения для Самбы, чтобы M$chap заработал :)

# cat /etc/openldap/slapd.conf | grep samba
include    /etc/openldap/schema/samba.schema

ну и у пользователя должны быть соотв атрибуты


# smbldap-usershow ldap_user | grep -i samba | cut -d ':' -f 1
sambaLogonTime
sambaLogoffTime
sambaPwdCanChange
sambaSID
sambaHomeDrive
sambaHomePath
sambaKickoffTime
sambaBadPasswordCount
sambaBadPasswordTime
sambaDomainName
sambaPrimaryGroupSID
sambaLogonScript
sambaLMPassword
sambaAcctFlags
sambaNTPassword
sambaPwdLastSet
sambaPwdMustChange

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ComBin (ok) on 23-Янв-13, 12:46 
>[оверквотинг удален]
> sambaBadPasswordCount
> sambaBadPasswordTime
> sambaDomainName
> sambaPrimaryGroupSID
> sambaLogonScript
> sambaLMPassword
> sambaAcctFlags
> sambaNTPassword
> sambaPwdLastSet
> sambaPwdMustChange

Пчитал еще разного сегодня. Получается можно просто через /usr/local/etc/raddb/ldap.attrmap натравить радиус на нужные атрибуты. Но есть одно но похоже при MSCHAP аутентификации радиус хочет чтобы пароль открытым текстом лежал, чего не очень хочу я. Скажите пожалуйста у вас пароль в LDAP как-то шифруется?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ALex_hha (ok) on 23-Янв-13, 13:15 
>[оверквотинг удален]
>> sambaLMPassword
>> sambaAcctFlags
>> sambaNTPassword
>> sambaPwdLastSet
>> sambaPwdMustChange
> Пчитал еще разного сегодня. Получается можно просто через /usr/local/etc/raddb/ldap.attrmap
> натравить радиус на нужные атрибуты. Но есть одно но похоже при
> MSCHAP аутентификации радиус хочет чтобы пароль открытым текстом лежал, чего не
> очень хочу я. Скажите пожалуйста у вас пароль в LDAP как-то
> шифруется?

естественно :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ComBin (ok) on 23-Янв-13, 13:20 
>[оверквотинг удален]
>>> sambaAcctFlags
>>> sambaNTPassword
>>> sambaPwdLastSet
>>> sambaPwdMustChange
>> Пчитал еще разного сегодня. Получается можно просто через /usr/local/etc/raddb/ldap.attrmap
>> натравить радиус на нужные атрибуты. Но есть одно но похоже при
>> MSCHAP аутентификации радиус хочет чтобы пароль открытым текстом лежал, чего не
>> очень хочу я. Скажите пожалуйста у вас пароль в LDAP как-то
>> шифруется?
> естественно :)

В смысле в LDAP у вас храниться хешь или пароль? Просто исходя из описания протокола CHAP http://ru.wikipedia.org/wiki/CHAP , хранить нужно именно пароли. Во всяком случаи я так понял. Поправьте если я не прав.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ComBin (ok) on 24-Янв-13, 10:32 
> В смысле в LDAP у вас храниться хешь или пароль? Просто исходя
> из описания протокола CHAP http://ru.wikipedia.org/wiki/CHAP , хранить нужно именно пароли.
> Во всяком случаи я так понял. Поправьте если я не прав.

Хм оказалось что поля sambaNTPassword действительно хранят хешь, причем этот хешь подходит для CHAP авторизации в отличии от прочих. Спасибо за помощь.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "OpenLDAP+FreeRADIUS. PAP vs. CHAP"  +/
Сообщение от ALex_hha (ok) on 24-Янв-13, 11:13 
> В смысле в LDAP у вас храниться хешь или пароль? Просто исходя
> из описания протокола CHAP http://ru.wikipedia.org/wiki/CHAP , хранить нужно именно пароли.
> Во всяком случаи я так понял. Поправьте если я не прав.

хеш конечно

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру