У нас есть настройка Windows NPS и RHEL radius client с использованием модуля pam_radius от freeradius.org для ssh. Но на клиенте linux я вижу ошибку pam_radius_auth: Got RADIUS response code 3 в /var/log/secure. Код 3 означает Access Rejected, но из клиента Windows, когда я тестировал с помощью инструмента тестирования радиуса, соединение было успешным и получил код 2, код 2 означает Access granted. В журнале NPS я получаю следующее:
<Event>
<Timestamp data_type="4">07/04/2015 10:21:02.913</Timestamp>
<Computer-Name data_type="1">MYADDomainController</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<User-Name data_type="1">MYlinuxuser</User-Name>
<NAS-Identifier data_type="1">sshd</NAS-Identifier>
<NAS-Port data_type="0">3360</NAS-Port>
<NAS-Port-Type data_type="0">5</NAS-Port-Type>
<Service-Type data_type="0">8</Service-Type>
<Calling-Station-Id data_type="1">MYWindowsClientIP</Calling-Station-Id>
<Client-IP-Address data_type="3">MYMyLinuxRadiusClientNameInNPSIP</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">MyLinuxRadiusClientNameInNPS</Client-Friendly-Name>
<Proxy-Policy-Name data_type="1">Use Windows authentication for all users</Proxy-Policy-Name>
<Provider-Type data_type="0">1</Provider-Type>
<SAM-Account-Name data_type="1">MyDomainName\MYlinuxuser</SAM-Account-Name>
<Fully-Qualifed-User-Name data_type="1">MyDomainName\MYlinuxuser</Fully-Qualifed-User-Name>
<Class data_type="1">311 1 MyRadiusServer 07/04/2015 05:14:52 15</Class>
<Authentication-Type data_type="0">1</Authentication-Type>
<Packet-Type data_type="0">1</Packet-Type>
<Reason-Code data_type="0">0</Reason-Code>
</Event>
<Event>
<Timestamp data_type="4">07/04/2015 10:21:02.913</Timestamp>
<Computer-Name data_type="1">MYADDomainController</Computer-Name>
<Event-Source data_type="1">IAS</Event-Source>
<Class data_type="1">311 1 MyRadiusServer 07/04/2015 05:14:52 15</Class>
<Authentication-Type data_type="0">1</Authentication-Type>
<Fully-Qualifed-User-Name data_type="1">MyDomainName\MYlinuxuser</Fully-Qualifed-User-Name>
<SAM-Account-Name data_type="1">MyDomainName\MYlinuxuser</SAM-Account-Name>
<Provider-Type data_type="0">1</Provider-Type>
<Proxy-Policy-Name data_type="1">Use Windows authentication for all users</Proxy-Policy-Name>
<Client-IP-Address data_type="3">MYMyLinuxRadiusClientNameInNPSIP</Client-IP-Address>
<Client-Vendor data_type="0">0</Client-Vendor>
<Client-Friendly-Name data_type="1">MyLinuxRadiusClientNameInNPS</Client-Friendly-Name>
<Packet-Type data_type="0">3</Packet-Type>
<Reason-Code data_type="0">16</Reason-Code>
</Event>
В средстве просмотра событий Windows под NPS я не вижу ошибок. Что мне не хватает в NPS?
В код причины в вашем журнале событий указано 16, что однозначный:
Ошибка аутентификации из-за несоответствия учетных данных пользователя. Либо предоставленное имя пользователя не соответствует существующей учетной записи пользователя, либо пароль был неверным.