Как интегрировать RADIUS с Kerberos?
Я соглашаюсь с Evan, я испытал маленькие переключатели, которые заставили нашу сеть выходить из строя. Около 16:03 каждый день мы не могли выяснить то, что было неправильным. Мы также выполнили wireshark напрасно.
В нашем случае 2 ситуации вызывают эту проблему:
Это не был дешевый переключатель, но один из наших руководителей установил репликатор порта ноутбука с его собственным NIC. Каждый раз, когда он включил, мы испытаем сетевые затруднения (хотя световые сигналы ссылки не пылали).
Жулик сервер WINS уничтожал все порты и составлял наш безумный свет переключателей.
Изолируйте проблему. Зарегистрируйте свой поиск и устранение неисправностей, проверьте сетевые устройства сначала. Выгрузите переключатель/маршрутизатор (heck, возвратите его, если это не проблема). Проверьте на Конфликты IP.
Надежда, которая помогает, удачи!
Это может быть сделано w/802.1x - PEAP-MSCHAP к kerberos MIT с помощью KCRAP. Первоначально разработанный, чтобы позволить пользователям Samba проходить проверку подлинности к kerberos, использующему NTLM, это - библиотеки, может использоваться в freeradius, чтобы сделать необходимую проверку хеша NTLM.
Это решение требует, чтобы Вы были удобным выполнением и поддержанием заказного программного обеспечения. Грубые шаги к реализации:
- Добавьте
arcfour-hmac:normalхэш пароля к Вашему KDB. Пользователи должны будут обновить свои пароли для создания необходимого хеша для NTLM. - Создайте и установите kcrapd демона для работы KDB (s) к пользовательским хешам поиска.
- Сборка, установка, и настраивают kcrap-освобождение на Вашем сервере (серверах) RADIUS.
- Создайте подлинный модуль для своего сервера радиуса, который соединяет интерфейсом с w/kcrap-освобождение для аутентификации пользователей.
Мы выполняем это решение для всего кампуса w/устройства окон, автоматически аутентифицирующие использование их собственных AD учетных данных против нашего синхронизируемого KDBs.
Если Microsoft затем существует несколько статей. Technet и документ здесь документ в формате Word TechNet
Вот то, как Вы осуществляете freeradius проверку комбинация пользователя/пароля против сервера Kerberos и авторизовываете против Вашего бэкенда LDAP---, засовывают это в Ваш radius.conf:
modules {
krb5 {
keytab = ${confdir}/radius.keytab
service_principal = radius/radius.example.com
}
ldap {
cache = no
server = "ldap"
identity = "uid=freeradius,ou=Accounts,dc=example,dc=com"
password = secret
basedn = "dc=com"
filter = "(krbPrincipalName=%{User-Name})"
base_filter = "(objectClass=radiusprofile)"
tls {
start_tls = no
# tls_cacertfile = /path/to/cacert.pem
# tls_cacertdir = /path/to/ca/dir/
# tls_certfile = /path/to/radius.crt
# tls_keyfile = /path/to/radius.key
# tls_randfile = /path/to/rnd
# tls_require_cert = "demand"
}
default_profile = "uid=freeradius,ou=Accounts,dc=example,dc=com"
profile_attribute = "radiusProfileDn"
access_attr = "dialupAccess"
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
groupname_attribute = cn
groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn})))"
#groupmembership_attribute = radiusGroupName
timeout = 4
timelimit = 3
net_timeout = 1
# compare_check_items = yes
# do_xlat = yes
# access_attr_used_for_allow = yes
# set_auth_type = yes
}
}
Это предполагает добавление корректной схемы радиуса (поставки с freeradius, IIRC) в каталог LDAP, и это должно указать на Вас в правильном направлении---, я не делаю 802.1X, но я действительно использую эту конфигурацию для обработки других kerberos через радиус сценариев управления доступом, и это работало в производстве некоторое время теперь. Очевидно, пользователи входят в систему со своими полными kerberos принципалами (а не просто имена пользователей).