Quero configurar o Freeradius para poder autenticar através de um banco de dados LDAP.
O Freeradius pode se conectar e localizar o usuário no diretório LDAP corretamente:
2024-01-14T22:00:25.233318433Z (1) ldap: EXPAND (uid=%{%{Stripped-User-Name}:-%{User-Name}})
2024-01-14T22:00:25.233326325Z (1) ldap: --> (uid=user)
2024-01-14T22:00:25.233334383Z (1) ldap: Performing search in "cn=users,ou=admin,dc=example,dc=hu" with filter "(uid=user)", scope "sub"
2024-01-14T22:00:25.233343360Z (1) ldap: Waiting for search result...
2024-01-14T22:00:25.236617309Z (1) ldap: User object found at DN "cn=user,cn=users,ou=admin,dc=example,dc=hu"
O cliente deseja se autenticar com mschapv2
, isso pode ser visto na solicitação:
2024-01-14T22:00:25.232979025Z (1) Received Access-Request Id 31 from 172.16.8.14:59643 to 192.168.1.3:1812 length 150
2024-01-14T22:00:25.233058826Z (1) Service-Type = Login-User
2024-01-14T22:00:25.233068484Z (1) User-Name = "user"
2024-01-14T22:00:25.233076197Z (1) MS-CHAP-Challenge = 0xfc1cd4cb18f3a72ebec9ae33bc3541b3
2024-01-14T22:00:25.233082264Z (1) MS-CHAP2-Response = 0x00009a0da1c7787c2ba24c803731a9e5c0660000000000000000e202f180eb23202f5bf10113c00d336aded55e09ed3c49e2
2024-01-14T22:00:25.233088052Z (1) Calling-Station-Id = "172.16.15.1"
2024-01-14T22:00:25.233093469Z (1) NAS-Identifier = "router"
2024-01-14T22:00:25.233098457Z (1) NAS-IP-Address = 172.16.8.14
No entanto, a autenticação ainda falha:
2024-01-14T22:00:25.236764101Z (1) Found Auth-Type = mschap
2024-01-14T22:00:25.236770396Z (1) Auth-Type sub-section not found. Ignoring.
2024-01-14T22:00:25.236775403Z (1) # Executing group from file /etc/freeradius/sites-enabled/default
2024-01-14T22:00:25.236780691Z (1) Failed to authenticate the user
2024-01-14T22:00:25.236793956Z (1) Using Post-Auth-Type Reject
2024-01-14T22:00:25.236800568Z (1) # Executing group from file /etc/freeradius/sites-enabled/default
2024-01-14T22:00:25.236809280Z (1) Post-Auth-Type REJECT {
E eu não entendo o porquê. A configuração padrão do site freeradius é usada, apenas ldap
o mod é adicionado com detalhes de conexão.
Ps.: A autenticação com o radtest
utilitário funciona, então de alguma forma apenas a autenticação com mschap não está funcionando. Senha de usuário testada armazenada como cleartext
e md5
em LDAP também.
Funciona como eu esperava na minha pergunta, mas faltava na minha configuração a
update
parte onde o atributo de senha está definido:ou você pode usar
control:Cleartext-Password
para definir a senha em texto simples