我使用充当802.1x身份验证服务器的freeradius服务器。 Windows操作系统默认使用EAP-PEAP加密。这意味着Windows向我的radius服务器发送加密的凭证,我无法将其解码为明文密码。但是如果没有明文密码,我该如何在ldap服务器中进行身份验证?由于存储在ldap服务器中的密码是由某些算法(如MD5)加密的,如何比较由不同算法加密的两个加密密码?
答案 0 :(得分:1)
你不能。请参阅此compatibility matrix。
您可以将密码存储在LDAP中作为明文或NT-Passwords(16位UTF编码的无保留MD4)。
由于Windows现在支持EAP-TTLS-PAP,大多数人会使用那些他们无法访问明文密码或活动目录服务器的地方。
答案 1 :(得分:1)
来这里寻找与如何为802.1X WiFi设置FreeRadius + LDAP + EAP-PEAP相同的答案
经过一些研究和更多的谷歌搜索,事实证明您可以轻松设置它,只需更改/etc/freeradius/mods-enabled/eap
中的设置
搜索peap类型的eap,应该类似
## EAP-PEAP
peap {
tls = tls-common
default_eap_type = mschapv2
...
}
将其更改为
peap {
tls = tls-common
default_eap_type = gtc
...
}
重新启动服务并尝试连接
查看这些链接以获取更多详细信息
https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol#EAP_Generic_Token_Card_(EAP-GTC)
http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073992.html
https://support.google.com/a/answer/9089736
https://support.google.com/a/answer/9048516?hl=en&ref_topic=9048334
https://community.ui.com/questions/Guide-to-get-Unifi-FreeRadius-Google-LDAP-G-Suite-set-up-in-docker/36af593f-73b1-4943-8e22-9a81b10db9ae
答案 2 :(得分:0)
你不能那样做!
如果您不以明文或 ntPassword 的形式在 LDAP 中保存密码,您唯一的选择就是使用 eap-ttls 和 pap。 您应该更改客户端的配置以发送 eap-ttls 请求而不是 eap-peap。