带有LDAP的Freeradius EAP-PEAP

Question

我使用作为802.1x身份验证服务器的freeradius服务器。Windows OS默认使用EAP-PEAP加密。这意味着Windows向我的radius服务器发送加密证书，而我无法将其解码为明文密码。但是如果没有明文密码，我如何在ldap服务器中进行身份验证？由于存储在ldap服务器中的密码是由一些算法(如MD5 )加密的，那么如何比较不同算法加密的两个加密密码呢？

Answer 1

你不能看这个相容矩阵。

您可以将密码存储在LDAP中，作为明文或NT-密码(16位UTF编码的未咸MD4 )。

由于Windows现在支持，所以大多数人在无法访问明文密码或活动目录服务器的情况下使用该功能。

Answer 2

到这里来寻找与如何为802.1X WiFi设置FreeRadius + LDAP + EAP-PEAP的相同答案。

经过一些研究和更多的googling搜索，结果发现您可以设置它，只需在/etc/freeradius/mods-enabled/eap搜索peap类型的eap中更改设置，应该有如下所示

    ## EAP-PEAP
    peap {
        tls = tls-common
        default_eap_type = mschapv2
        ...
   }

把它改成

    peap {
        tls = tls-common
        default_eap_type = gtc
        ...
   }

重新启动服务并尝试连接

查看这些链接以获得更多详细信息访问

(EAP-GTC)

http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073992.html

https://support.google.com/a/answer/9089736

topic=9048334

https://community.ui.com/questions/Guide-to-get-Unifi-FreeRadius-Google-LDAP-G-Suite-set-up-in-docker/36af593f-73b1-4943-8e22-9a81b10db9ae

Answer 3

你不能那样做！

如果您不以明文或ntPassword的形式在LDAP中保存密码，那么您唯一的选择就是在pap中使用eap-ttls。您应该更改客户端的配置，以发送eap-ttls请求，而不是eap-peap。