Я пытаюсь использовать модуль LDAP для аутентификации клиентов радиуса в активном каталоге, поэтому мне нужно, чтобы он действительно использовал LDAP в качестве аутентификатора. Однако похоже, что пароль пользователя не устанавливается. Прежде всего, предполагается, что пароль пользователя будет отправлен клиентом или внутренним сервером? Мой главный вопрос: что я делаю не так?
И да, я знаю, что журналы кричат мне «не делай этого», но, читая readme, кажется, что это обычно хороший совет, но этого требует AD.
С AD у вас есть два варианта учетных данных: пароль в виде обычного текста или NT-пароль (хэш пароля MD4). С помощью обычного текста аутентификации вы можете использовать привязку с аутентификацией LDAP для проверки учетных данных.
С паролем NT вам нужно будет запустить MSCHAPv2 в качестве метода аутентификации и использовать что-то вроде winbindd (samba) для присоединения к домену AD.
Однако непосредственная проблема в вашем случае заключается в том, что вы используете CHAP, который предоставляет только ответ на запрос серверу RADIUS. не пароль в открытом виде. В AD нет механизма внутренней аутентификации, который поддерживает аутентификацию RADIUS CHAP, поэтому, если вы хотите, чтобы это работало, вам нужно убедить свой NAS (сервер доступа к сети) выполнить либо PAP (для аутентификации открытым текстом с аутентифицированным связыванием), либо MSCHAPv2 ( с для аутентификации на основе winbind).