我有一个Freeradius服务器设置在/ etc / freeradius / users的用户有Auth-Type := PAM 。 这使得半径引用/etc/pam.d/radiusd文件,并在这个文件中,我有 auth requisite pam_google_authenticator.so forward_pass auth sufficient pam_unix.so use_first_pass 这工作正常,但问题是,它只提示一个密码,用户应该连接他们的Unix密码+谷歌validation码。 然后google_authenticator模块去掉validation码,检查validation码,并将余下的密码转发给下一个模块。 正如我所说,它工作正常,但我希望提示两次:第一次为validation码,第二次为Unix密码。 这个怎么做?
目前我正在devise新的内部IT服务,包括IAM和电子邮件。 我们目前使用或多或less没有IAM或单点login解决scheme。 我们有一个基于WordPress的网站,基于postfix + dovecot的邮件服务器与单独的MySQL用户数据库,我们目前依赖本地用户无处不在。 我想改变这个,实现一个IAM解决scheme,因为它具有一些很好的function,并且很容易支持几乎任何东西,包括Linux操作系统级帐户,所以我正朝着Active Directory迈进。 对于MS Active Directory,我们希望使用每个用户(4-8个字符)的小静态密码+ Google Authenticator一次性密码的6个数字字符的组合。 我想知道是否有人执行这样的事情,什么是最好的前进? 我可以想到两个可能的方向,一个是使用AuthLite等软件,另一个是通过PAM来实现与Google Authenticator集成的FreeRADIUS,并configurationActive Directory使用该外部FreeRADIUS服务器进行身份validation,是否有人知道如何实现后来?
我正在写一个基于Django的JSONrest服务与rlm_rest一起使用。 FreeRadius将同时提供AAA和DHCP服务。 尽pipe我的脚本技巧,DHCP部分正常工作…但authentication部分有问题。 我的testing场景: 使用Radtest:客户得到了很好的回应…包括“Framed-Pool” Mikrotik PPPoe服务器,所有Auth协议启用的Xubuntu PPPoE客户端:总是被拒绝,因为我的脚本没有得到“用户密码”只有MSCHAP-Challenge和MSCHAP-Response。 Mikrotik PPPoe服务器,仅启用PAP的Xubuntu PPPoE客户端:成功 以下是rlm_rest发送给myscript的内容: { “用户名称”:{ “types”: “串”, “值”:[ “dokter01”]} “NAS-IP-地址”:{ “types”: “IPADDR”, “值”:[” 10.255.255.2 “]}”,NAS端口 “:{” types “:” 整数”, “值”:[6]}, “服务types”:{ “types”: “整数”, “值”: [2]}, “帧协议”:{ “types”: “整数”, “值”:[1]}, “被叫站ID”:{ “types”: “串”, “值”: [ “pppoe4”]} “呼叫站ID”:{ “types”: “串”, “值”:[ “08:00:27:B2:02:7E”]} “NAS标识符” :{ “types”: “串”, “值”:[ “mtik02”]} […]
我正在尝试使用Active Directory实现RADIUS身份validation。 我想请求到RADIUS发送到AD服务器和RADIUS响应根据其结果。 我已经joinRADIUS服务器到域,所以我可以做 ntlm_auth –request-nt-key –domain=MYDOMAIN –username=user –password=password 它的工作。 现在我正在尝试使FreeRADIUS使用ntlm_auth按照本手册,但添加后 DEFAULT Auth-Type = ntlm_auth 到users文件radiusd不启动。 没有它radiusd开始,但不使用广告authentication。 当radiusd不启动时radiusd : /etc/raddb/mods-config/files/authorize[1]: Parse error (check) for entry DEFAULT: Unknown value 'ntlm_auth' for attribute 'Auth-Type' Failed reading /etc/raddb/mods-config/files/authorize /etc/raddb/mods-enabled/files[9]: Instantiation failed for module "files" 我正在使用FreeRADIUS 3.0.4,CentOS 7.2 如何使FreeRADIUS代理身份validation请求到Active Directory?
我们正在使用freeradius&winbindd为了validation我们的EDUROAM Wifi用户对Active Directory域。 这是一种魅力,但是我们每小时几乎每两个小时(在工作时间,上午十点,十二点和上午十点) 在我们的mschapconfiguration中,我们正在调用一个脚本 ntlm_auth = "wrap_ntlm_auth.pl challenge %{%{Stripped-User-Name}:-%{%{User-Name}:-None}} %{mschap:Challenge} %{mschap:NT-Response} %{%{Calling-Station-ID}:-none}" 这个脚本基本上实现了阻止机制和用户名的映射。 最后它调用ntlm_auth,这是winbindd: ntlm_auth –use-cached-creds –username='%s' –password='%s' 要么 ntlm_auth –use-cached-creds –request-nt-key –username='%s' –challenge='%s' –nt-response='%s' 取决于是否使用密码或质询authentication。 我们感到非常困惑,为什么身份validation过程每两小时需要相当长的时间。 在我们的设置中是否有明显的错误/任务优化? smb.conf for winbindd: [global] workgroup = DOMAIN server string = %h server dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 # […]
我试图build立一个LDAP服务器来validation多个服务器,如FTP和半径(甚至可能是SSH?) 我有一个路由器(ddwrt),我已经能够在freeradius中使用明文密码进行身份validation。 现在我想使用一个ldap服务器来存储用户和密码 我已经build立了我的ldap服务器,并且可以使用以下方法进行身份validation: kevin@kevin-desktop:~$ radtest ldapuser password123 127.0.0.1 2 testing123 Sending Access-Request of id 182 to 127.0.0.1 port 1812 User-Name = "ldapuser" User-Password = "password123" NAS-IP-Address = 127.0.1.1 NAS-Port = 2 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=182, length=20 但是,当我尝试使用ddwrt进行身份validation – > freeradius时,我收到以下消息: rad_recv: Access-Request packet from host 192.168.11.1 […]
我有两个路由器,我们称之为A和B. 主要想法是B客户端需要通过身份validation访问互联网。 A连接到互联网。 B物理连接到A(B WAN接口到LAN接口)。 局域网IP:128.0.0.1/24 B WAN IP:128.0.0.2 B LAN IP:10.0.0.1/24 FreeRadius服务器连接到A并具有IP 128.0.0.10。 所以我想是把B网关设置为128.0.0.10。 现在的问题是我如何设置服务器作为FreeRadius客户端,禁止未经身份validation的用户访问互联网。 我想有客户端作为Web客户端(FreeRadius的Apache模块?)
我有一个与MySQL工作的RADIUS服务器,我使用这个RADIUS为2个不同的服务的AAA, Service1使用Auth-Type作为“PAP”,Service2使用“EAP” radcheck table +—–+———-+——————–+—-+————–+ | id | username | attribute | op | value | +—–+———-+——————–+—-+————–+ | 474 | varun | Cleartext-Password | := | sunshine3003 | +—–+———-+——————–+—-+————–+ radreply table +—-+———-+————–+—-+——-+ | id | username | attribute | op | value | +—-+———-+————–+—-+——-+ | 1 | varun | Fall-Through | = | Yes | […]
我在CentOS 7.3上安装了FreeRadius 3.0.13,它也有SSSD 1.14.0,用于与我们的Windows 2012域控制器进行通信。 我们能够通过半径使用AD进行身份validation。 我们也在这个Radius服务器上安装了google authenticator。 我们可以连接到我们的openvpn服务器,使用AD和Google进行身份validation是很好的,这里没有问题。 然而,我有问题试图只允许某个AD组中的用户进行身份validation。 我正在使用“pam_sss”模块对AD进行身份validation。 这是我的'pam.d / radius'configuration #%PAM-1.0 auth requisite pam_google_authenticator.so forward_pass auth required pam_sss.so use_first_pass account required pam_nologin.so account include password-auth session include password-auth 这是我的'raddb /用户'configuration DEFAULT Auth-Type := PAM #DEFAULT Group == "remoteaccess", Auth-Type := Reject # Reply-Message = "You are a member of the Correct […]
我有一台ZyXel GS2200-24pipe理型交换机,以及一台在Ubuntu 11.10上运行的免费半径服务器。 Radius被configuration,当我login到交换机时,authentication通过Radius。 现在,我试图确保对networking资源的访问(例如,我在ip 192.168.1.2上设置了一个web服务器)需要首先使用radius进行身份validation,然后交换机才允许连接。 我是否正确,这应该在交换机级别处理? 这些规则通常被称为/他们通常如何定义?