Я пытаюсь настроить сервер LDAP для аутентификации нескольких серверов, таких как ftp и radius (может быть, даже ssh?)
У меня есть маршрутизатор (ddwrt), который я смог аутентифицировать с помощью паролей в виде открытого текста в freeradius. Теперь я хочу использовать ldap-сервер для хранения пользователей и паролей.
Я настроил свой ldap-сервер и могу аутентифицировать его, используя следующее:
kevin@kevin-desktop:~$ radtest ldapuser password123 127.0.0.1 2 testing123
Sending Access-Request of id 182 to 127.0.0.1 port 1812
User-Name = "ldapuser"
User-Password = "password123"
NAS-IP-Address = 127.0.1.1
NAS-Port = 2
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=182, length=20
Но когда я пытаюсь пройти аутентификацию с помощью ddwrt -> freeradius, я получаю следующее сообщение:
rad_recv: Access-Request packet from host 192.168.11.1 port 52101, id=0, length=129
User-Name = "ldapuser"
NAS-IP-Address = 192.168.11.1
Called-Station-Id = "10da43747fcb"
Calling-Station-Id = "accf8528974e"
NAS-Identifier = "10da43747fcb"
NAS-Port = 49
Framed-MTU = 1400
NAS-Port-Type = Wireless-802.11
EAP-Message = 0x0200000d016c64617075736572
Message-Authenticator = 0x99372f408b0979fc103af5112b81501a
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[digest] = noop
[suffix] No '@' in User-Name = "ldapuser", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] = noop
[eap] EAP packet type response id 0 length 13
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] = updated
[files] users: Matched entry DEFAULT at line 1
++[files] = ok
[ldap] performing user authorization for ldapuser
[ldap] expand: %{Stripped-User-Name} ->
[ldap] ... expanding second conditional
[ldap] expand: %{User-Name} -> ldapuser
[ldap] expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=ldapuser)
[ldap] expand: dc=kevin,dc=local -> dc=kevin,dc=local
[ldap] ldap_get_conn: Checking Id: 0
[ldap] ldap_get_conn: Got Id: 0
[ldap] attempting LDAP reconnection
[ldap] (re)connect to 192.168.11.21:389, authentication 0
[ldap] bind as cn=admin,dc=kevin,dc=local/pwd to 192.168.11.21:389
[ldap] waiting for bind result ...
[ldap] Bind was successful
[ldap] performing search in dc=kevin,dc=local, with filter (uid=ldapuser)
[ldap] No default NMAS login sequence
[ldap] looking for check items in directory...
[ldap] userPassword -> User-Password == "{SSHA}fqS7t/ZXimCnTgsXcsGDQF9WP+atmjVG"
[ldap] userPassword -> Password-With-Header == "{SSHA}fqS7t/ZXimCnTgsXcsGDQF9WP+atmjVG"
[ldap] looking for reply items in directory...
[ldap] ldap_release_conn: Release Id: 0
++[ldap] = ok
++[expiration] = noop
++[logintime] = noop
[pap] WARNING: Auth-Type already set. Not setting to PAP
++[pap] = noop
+} # group authorize = updated
Found Auth-Type = LDAP
# Executing group from file /etc/freeradius/sites-enabled/default
+group LDAP {
[ldap] Attribute "User-Password" is required for authentication.
You seem to have set "Auth-Type := LDAP" somewhere.
THAT CONFIGURATION IS WRONG. DELETE IT.
YOU ARE PREVENTING THE SERVER FROM WORKING PROPERLY.
++[ldap] = invalid
+} # group LDAP = invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+group REJECT {
[eap] Request was previously rejected, inserting EAP-Failure
++[eap] = updated
[attr_filter.access_reject] expand: %{User-Name} -> ldapuser
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] = updated
+} # group REJECT = updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 0 to 192.168.11.1 port 52101
EAP-Message = 0x04000004
Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 4.9 seconds.
Cleaning up request 0 ID 0 with timestamp +9
Ready to process requests.
Как правильно настроить openradius с помощью openldap?
Очевидно, вы должны хранить пароли в открытом виде на сервере ldap, чтобы PEAP работал.
Я следовал этому руководству (очень простая настройка): https://www.youtube.com/watch?v=weTfRslHhZY
Шаги:
В / etc / freeradius / modules / ldap изменить настройки:
server = "server.address"
identity = "cn=admin,dc=example,dc=com"
password = admin_password
basedn = "dc=example,dc=com"
В / etc / freeradius / sites-available / default авторизовать раздел:
comment file
uncomment ldap
В / etc / freeradius / sites-available / inner-tunnel
авторизовать раздел:
comment file
uncomment ldap
раздел аутентификации: раскомментировать:
Auth-Type LDAP {
ldap
}
Они упустили тот факт, что вы должны хранить пароли в открытом виде, о чем я узнал здесь:
http://tech.sybreon.com/2011/01/18/freeradius-openldap-dd-wrt/
По-видимому, вы не можете создать учетную запись posix из простой организационной группы, вы должны создать ее из группы posix, которую я получил отсюда:
В конце концов, мне пришлось использовать jxexplore и phpldapadmin для добавления моих пользователей, поскольку jxexplore не любит добавлять пароли в виде обычного текста. Просто создайте учетную запись без пароля на jxexplore, затем добавьте пароль для пользователя в phpldapadmin. (Я обновлю это, когда у меня будет возможность)
Ключевое сообщение здесь:
[ldap] Атрибут "User-Password" необходим для аутентификации.
Кажется, вы где-то установили "Auth-Type: = LDAP". ЭТА КОНФИГУРАЦИЯ НЕПРАВИЛЬНАЯ. УДАЛИ ЭТО. ВЫ ЗАПРЕЩАЕТЕ СЕРВЕР РАБОТАТЬ НАДЛЕЖАЩИМ.
Я не вижу раздел обновлений, но держу пари, что вы либо установили set_auth_type "Да" или запись в строке 1 raddb/users
есть что-то вроде:
DEFAULT Auth-Type := LDAP
В любом случае вам следует удалить запись.
Устанавливая Auth-Type, вы заставляете сервер выполнять определенный тип аутентификации, который может не подходить с учетом атрибутов в запросе.
Описание того, как сервер решает, какой метод аутентификации использовать, доступный на Концепции RADIUS на FreeRADIUS вики.
Для аутентификации EAP (это то, что пытается DD-WRT), вам необходимо добавить модули LDAP и PAP в раздел авторизации sites-available/inner-tunnel
, и убедитесь, что ваш Пароль с заголовком атрибут указывает на правильный атрибут LDAP.