pombaer
25.05.10, 15:00
Ich bin gerade dabei einen Freeradius Server zu konfigurieren (Debian Lenny, habe die Pakete bereits selbst kompiliert da openssl standardmäßig ja nicht einkompiliert ist). Ich scheitere aber irgendwie am Verständnis wie das Ding arbeitet. Als User DB soll Win2003 AD hergenommen werden. Ich habe lokal bei mir einen Radiusclient installiert mit dem ich den Server testen kann.
Wenn ich freeradius im Debug Modus starte und mich mit dem Client anmelde bekomme ich am Server folgende Ausgabe:
User-Name = "foo.at\\user01"
Acct-Session-Id = "1274794364A55xlu"
NAS-IP-Address = 127.0.0.1
NAS-Identifier = "Localhost"
NAS-Port = 0
Calling-Station-Id = "1115551212"
User-Password = "myPassword"
Wie entscheidet freeradius über welches System (Pam, Files, Windows Domain) er mich authentifiziert? Probiert er alle Module die in den "authorization" Sektionen in den Files unter "sites-enabled" angegeben sind durch?
Für mich ist bei dem Radius recht viel Magic drin, ich finde dazu auch keine vernünftige Doku um die Arbeitsweise des Servers herauszufinden, RFC's lesen möchte ich mir auch sparen ;)
Das Kennwort muss doch dem Radiusserver in Klartext übermittelt werden damit der über AD authentifizieren kann, also setzte ich beim client nur das Attribut "User-Password". Die Verschlüsselung dabei passiert über das "Secret" das bei beiden Teilnehmern konfiguriert ist damit das Kennwort nicht im Klartext übertragen wird, ist das richtig so?
In der Anleitung unter "http://deployingradius.com/documents/configuration/active_directory.html" kommt ua. folgende Zeile vor:
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}-foo.at} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
Verstehe ich irgendwie auch nicht, warum kommt darin der "--password" Parameter nicht vor, wenn ich mit meinen vorigen Annahmen richtig lag hat der Radius Server das Kennwort ja im Klartext zur Verfügung.
Vielleicht kennt jemand eine Vernünftige Doku zu freeradius, wäre echt froh darüber.
Wenn ich freeradius im Debug Modus starte und mich mit dem Client anmelde bekomme ich am Server folgende Ausgabe:
User-Name = "foo.at\\user01"
Acct-Session-Id = "1274794364A55xlu"
NAS-IP-Address = 127.0.0.1
NAS-Identifier = "Localhost"
NAS-Port = 0
Calling-Station-Id = "1115551212"
User-Password = "myPassword"
Wie entscheidet freeradius über welches System (Pam, Files, Windows Domain) er mich authentifiziert? Probiert er alle Module die in den "authorization" Sektionen in den Files unter "sites-enabled" angegeben sind durch?
Für mich ist bei dem Radius recht viel Magic drin, ich finde dazu auch keine vernünftige Doku um die Arbeitsweise des Servers herauszufinden, RFC's lesen möchte ich mir auch sparen ;)
Das Kennwort muss doch dem Radiusserver in Klartext übermittelt werden damit der über AD authentifizieren kann, also setzte ich beim client nur das Attribut "User-Password". Die Verschlüsselung dabei passiert über das "Secret" das bei beiden Teilnehmern konfiguriert ist damit das Kennwort nicht im Klartext übertragen wird, ist das richtig so?
In der Anleitung unter "http://deployingradius.com/documents/configuration/active_directory.html" kommt ua. folgende Zeile vor:
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}-foo.at} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
Verstehe ich irgendwie auch nicht, warum kommt darin der "--password" Parameter nicht vor, wenn ich mit meinen vorigen Annahmen richtig lag hat der Radius Server das Kennwort ja im Klartext zur Verfügung.
Vielleicht kennt jemand eine Vernünftige Doku zu freeradius, wäre echt froh darüber.