У меня есть сервер FreeBSD 10.0, рабочий FreeRADIUS 3 и вещи были повреждены без любой очевидной причины.
Я использую Winbind от Samba4 для аутентификации с ntlm_auth
. Я сделал некоторую отладку для решения проблемы, но я не мог найти, где проблема.
ntlm_auth
работает:
ntlm_auth --username=ferrao --request-nt-key
Password:
NT_STATUS_OK: Success (0x0)
Но сбои RADIUS при выполнении EAP-аутентификации-PEAP и выполнении FreeRADIUS в режиме отладки это - сообщение об ошибке:
(9) mschap : Executing: /usr/local/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}
(9) mschap : EXPAND --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}}
(9) mschap : --> --username=ferrao
(9) mschap : Creating challenge hash with username: ferrao
(9) mschap : EXPAND --challenge=%{%{mschap:Challenge}:-00}
(9) mschap : --> --challenge=082e8ba7b848aaae
(9) mschap : EXPAND --nt-response=%{%{mschap:NT-Response}:-00}
(9) mschap : --> --nt-response=27b40a6d1dba1b4acfd33aff5c710a43e70d050269087bf1
(9) ERROR: mschap : Program returned code (1) and output 'Reading winbind reply failed! (0xc0000001)'
(9) mschap : External script failed.
(9) ERROR: mschap : External script says: Reading winbind reply failed! (0xc0000001)
(9) ERROR: mschap : MS-CHAP2-Response is incorrect
(9) [mschap] = reject
(9) } # Auth-Type MS-CHAP = reject
(9) eap : Freeing handler
(9) [eap] = reject
(9) } # authenticate = reject
(9) Failed to authenticate the user.
(9) Login incorrect (mschap: Program returned code (1) and output 'Reading winbind reply failed! (0xc0000001)'): [ferrao/<via Auth-Type = EAP>] (from client 146.164.136.0/26 port 0 via TLS tunnel)
Таким образом, что-то неправильно с Winbind и FreeRADIUS, и я не знаю что.
Заранее спасибо,
Проверьте разрешения привилегированного канала winbind - пользователю, от имени которого работает FreeRADIUS, должен быть доступ к нему. Вероятно, вам нужно добавить пользователя FreeRADIUS в группу winbindd_priv
, а затем убедиться, что привилегированный канал принадлежит пользователю root: winbindd_priv.
Привилегированный канал winbind обычно находится в / var / lib / samba / winbindd_privileged /
или аналогичное место в /var/.