在我的事件日志中,当我的路由器尝试使用Radius进行身份validation时,我得到以下内容:
“”用户无法使用质询握手身份validation协议(CHAP)进行身份validation此用户帐户不存在可逆encryption的密码为确保启用了可反向encryption的密码,请检查域密码策略或密码设置用户帐号。“”“
但是,我启用了AD用户属性中使用的帐户。 有没有其他的地方需要启用,或者我可以等待它复制或重新启动服务(除了Radius之外)? IAS服务器与域控制器是同一台机器,我在该机器上做了更改,所以我认为它会立即生效。
另外,它是如何不安全的“可逆encryption的密码”?
编辑:
如果有更好的办法,我也可以说为什么我这样做。 我正在通过客户端启动的L2TP / IPSec隧道的端点设置Cisco路由器。 我想对AD进行身份validation,所以如果有更好的方法来处理身份validation,请让我知道:-)理想情况下,我仍然可以使用内置的Windows VPN客户端。
微软的TechNet页面( 这里 )基本上说:
“使用可逆encryption存储密码本质上与存储密码的纯文本版本相同,因此,除非应用程序需求超过保护密码信息的需要,否则不应该启用此策略。
mh的链接已经被发现 – 一旦某个东西以一种可以被恢复的方式被存储,它应该被认为比明文更好。 由于它是在AD中实现的,所以可逆encryption意味着任何具有域pipe理员权限的人(或任何人)都可以解密密码,因为他们可以访问全局LSA秘密,这是秘密使用的唯一部分,所涉及的一切都可以从任何人的AD读取或包含在一个可以操纵\逆向工程的DLL中。
从攻击的angular度来看,如果某人拥有域pipe理员权限,则它已经在游戏结束,但是从内部安全angular度来看,这也意味着域pipe理员可以将密码解密为原始的纯文本,这是不好的。 如果没有别的,我不希望面临安全调查,其中的关键证据是事件日志条目显示用户login和注销使用技术上我可以知道,如果我想要的密码。
Niels Teusink在这里有一组有趣的博客文章。
在authentication方面有很多更好的select(X.509证书,一次性密码令牌,智能卡..),但是否可以使用它们取决于您的应用程序和用户需要使用的客户端系统。 如果你完全控制了环境,你应该能够find一个解决scheme,让你避免使用它们,但正确地实施它们可能是昂贵的,你的用户可能会发现它们不方便。
更新后我会build议使用AD集成证书,这将是一个工作,但最终的结果是坚实的,你可以重复使用的function很多其他的东西。
为什么它不工作显然是因为密码必须重置。 我能够通过Active Directory做到这一点。
此外,似乎我可以configuration路由器和Radius服务器使用ms-chap-v2,它不需要我用可逆encryption存储密码。