Estou tentando usar o módulo LDAP para autenticar clientes radius no diretório ativo, então preciso que ele realmente use o LDAP como autenticador. No entanto, parece que a senha do usuário não está sendo definida. Em primeiro lugar, a senha do usuário deve ser enviada pelo cliente ou pelo servidor de backend? Minha principal dúvida é: o que estou fazendo de errado?
E sim, estou ciente de que os logs estão gritando "não faça isso" para mim, mas lendo o leia-me parece que geralmente é um bom conselho, mas o AD exige isso.
Com o AD, você tem duas opções de credenciais, a senha de texto simples ou a senha NT (hash MD4 da senha). Com a autenticação de texto simples, você pode usar um vínculo autenticado LDAP para validar as credenciais.
Com o NT-Password, você precisaria executar o MSCHAPv2 como método de autenticação e usar algo como winbindd (samba) para ingressar no domínio AD.
O problema imediato no seu caso, no entanto, é que você está usando o CHAP, que fornece apenas uma resposta de desafio ao servidor RADIUS, não a senha de texto simples. Não há mecanismo de autenticação de back-end no AD que suporte autenticação RADIUS CHAP, portanto, se você quiser que isso funcione, precisará convencer seu NAS (Network Access Server) a executar PAP (para autenticação de texto simples com ligação autenticada) ou MSCHAPv2 ( com para autenticação baseada em winbind).