Аутентификация LDAP с помощью сервера RADIUS
У меня есть сервер RADIUS с пользовательским методом аутентификации. У меня есть Mysql-база-данных с паролями CMS Django, которые хешируются в PBKDF2_SHA256, таким образом, я должен был записать пользовательский сценарий аутентификации. Мои разделы автора RADIUS похожи на следующее:
authorize {
update control {
Auth-Type := `/usr/bin/php -f /usr/djangologin/cpauth.php %{User-Name} %{User-Password}`
}
}
Сценарий проверяет, что пароль с Python passlib возвращает TRUE или FALSE и таким образом, RADIUS возвращается, Доступ - Принимают или Принимать-отклонение.
Теперь я должен настроить LDAP-сервер, потому что одно из нашего нового программного обеспечения (Ulteo) не поддерживает аутентификацию RADIUS.
Я никогда не работал с LDAP прежде. Прежде чем я попытаюсь достигнуть невозможного, это - мои основные вопросы:
1. Я не сделал узнанный, как пароли хранятся точно. Как они шифруются? Я знаю, что они хранятся в/etc/shadow. Они шифруются в MD5 или SHA256/512?
2. Действительно ли возможно использовать RADIUS в качестве метода аутентификации для LDAP-сервера? Например, Пользователь хочет пройти проверку подлинности против сервера LDAP. Сервер LDAP ищет имя пользователя, и передайте его хотя RADIUS. На успехе возвращается RADIUS, Доступ - Принимают, и LDAP-сервер подтверждает успешный вход в систему.
3. Если 2. не возможно: существует ли способ создать пользовательский метод аутентификации как, я создал его для RADIUS? Существует ли лучший путь к archieve моя цель?
Спасибо!
В большинстве LDAP-серверов пароль хранится в директории, в которой находится сервер. Я думаю, что проще всего хранить пароли в LDAP и аутентифицировать RADIUS и все остальное против LDAP. Однако, например, OpenLDAP поддерживает SASL, так что вы можете аутентифицировать LDAP против чего-то другого, обычно Kerberos
.