Назад | Перейти на главную страницу

Аутентификация учетной записи компьютера на сервере Radius

Моя рабочая станция работает под Linux. У меня есть контроллер домена Active Directory + сервер Radius в Windows 2008. Я могу проверить учетную запись пользователя «radius-01» с помощью инструмента «radtest»:

    $ radtest -t pap radius-01 password123 195.234.133.32 1812 password123
    Sending Access-Request of id 98 to 195.234.73.2 port 1812
            User-Name = "radius-01"
            User-Password = "password123"
            NAS-IP-Address = 127.0.1.1
            NAS-Port = 1812
    rad_recv: Access-Accept packet from host 195.234.133.32 port 1812, id=98, length=84
            Framed-MTU = 1344
            Framed-Protocol = PPP
            Service-Type = Framed-User
            Class = 0x537004f00000013700010200ac1c0...

Я подключил свой компьютер с Linux к домену Active Directory ARB-HRK с помощью Samba:

    [root@shev-arb]# net ads testjoin
    Join is OK

Я могу сбросить пароль машины:

    [root@shev-arb]# tdbdump /var/lib/samba/private/secrets.tdb
    {
    key(34) = "SECRETS/MACHINE_PASSWORD/ARB-HRK"
    data(15) = "yGgXJsquRnpT0g\00"
    }

Как я могу подтвердить свою учетную запись компьютера на сервере Radius?

Кто-нибудь знает какие-нибудь инструменты для этого, например:

    radtest   shev-arb$ yGgXJsquRnpT0g 195.234.133.32 1812 password123

(эта команда не работает)

В домене Windows машинная аутентификация с использованием машинного секрета отключена по умолчанию для устаревших систем, которые используют MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 в качестве метода аутентификации, например, в случаях с IKEV1 PAP. В таких случаях вы можете столкнуться с ошибкой аутентификации DPC на NPS с ошибкой 0xc0000199 (NO_LOGON_WORKSTATION_TRUST_ACCOUNT).

Чтобы включить машинную аутентификацию для определенной учетной записи компьютера. Сделайте следующее:

  • Измените атрибут UserAccountControl таким образом, чтобы WORKSTATION_TRUST_ACCOUNT был удален, а к значению нужно было добавить NORMAL_ACCOUNT.
  • Если существующее значение UserAccountControl равно x, вычислить, обновить значение до (x-4096 + 512), чтобы аутентификация компьютера работала.

Следуйте инструкциям, приведенным в этой статье базы знаний: http://support.microsoft.com/kb/305144 или:

  1. Запустите adsiedit.msc на контроллере домена
  2. Разверните дерево и выберите лист компьютера, он будет отображаться как CN = Hostname.
  3. Щелкните правой кнопкой мыши и выберите Свойства.
  4. В окне свойств выберите атрибут userAccountControl. Дважды щелкните для редактирования.
  5. обновить число, вычтя 3584 из существующего значения.
  6. Нажмите OK, чтобы закрыть редактирование, и OK, чтобы закрыть диалоговое окно свойств.

Вернитесь к нормальным настройкам после завершения тестирования.

radtest -t mschap  'host/shev-arb.arb-hrk.net' yGgXJsquRnpT0g 195.234.133.32 1812 password123
Sending Access-Request of id 139 to 195.234.133.32 port 1812
...
rad_recv: Access-Accept packet from host 195.234.133.32 port 1812, id=139, length=142
...