User Tools

Site Tools


связка_freeradius_active_directory

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
связка_freeradius_active_directory [2022/11/02 14:54] jpсвязка_freeradius_active_directory [2022/11/09 15:35] (current) jp
Line 114: Line 114:
 Конфигурируем ntlm_auth следующим образом: Конфигурируем ntlm_auth следующим образом:
  
-    ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --domain=%{%{mschap:NT-Domain}:-ARASAKA.LOCAL} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}" +    ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --domain=%{%{mschap:NT-Domain}:-ARASAKA.LOCAL} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"    
-    +
 17. Перезапускаем freeradius и проверяем авторизацию с явным указанием mschap: 17. Перезапускаем freeradius и проверяем авторизацию с явным указанием mschap:
  
    systemctl restart freeradius    systemctl restart freeradius
-   radtest -t mschap user password localhost 0 testing123 +   radtest -t mschap user password localhost 0 testing123   
-   +
 18. Скорее всего мы получим ошибку примерно следующего содержания: 18. Скорее всего мы получим ошибку примерно следующего содержания:
  
Line 128: Line 126:
  
    /var/log/freeradius/radius.log    /var/log/freeradius/radius.log
-   Reading winbind reply failed! +   Reading winbind reply failed!   
-   +
 19. В этом случае нам нужно поправить права модуля ntlm_auth на pipe winbindd. Останавливаем freeradius, добавляем его пользователя в группу winbindd, корректируем права и снова запускаем freeradius и прогоняем тест.  19. В этом случае нам нужно поправить права модуля ntlm_auth на pipe winbindd. Останавливаем freeradius, добавляем его пользователя в группу winbindd, корректируем права и снова запускаем freeradius и прогоняем тест. 
  
Line 145: Line 142:
         MS-MPPE-Encryption-Policy = Encryption-Allowed         MS-MPPE-Encryption-Policy = Encryption-Allowed
         MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed         MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
 +</code>        
 +20. Теперь самое время сконфигурировать файл clients.conf, чтобы добавить какого-нибудь клиента. Например pfSense. 
 +В файле указываем ip-адрес RADIUS-клиента, секрет и другие параметры. 
 +
 +<code>
 +client arasaka-pfsense {
 +        ipaddr = 10.88.88.2
 +        proto = *
 +        secret = secret
 +        require_message_authenticator = no
 +        nas_type         = other
 +
 +        limit {
 +                max_connections = 1024
 +                lifetime = 0
 +                idle_timeout = 30
 +        }
 +}
 </code> </code>
 +21. Добавим наш RADIUS-сервер на pfSense, который мы только что сконфигурировали в качестве клиента как показано на скриншоте.
 +
 +{{:pfsense_radius_client_freeradius.jpg?direct&400|}}
 +
 +22. Проверим аутентификацию через добавленный RADIUS прямо с pfSense, чтобы убедиться в том, что всё сделано верно. 
 +
 +Открываем в главном меню: //Diagnostics -> Authentication// и вводим данные пользователя AD.
 +
 +{{::pfsense_radius_diag.jpg?direct&400|}}
 +
 +23. Для дебага можно запускать freeradius с ключом X:
 +
 +   freeradius -X
 +Логи можно почитать в папке:
 +
 +   /var/log/freeradius/
 +Если запуск службы будет неудачным, полезной также может оказаться команда:
 +
 +   journalctl -xe
 +{{tag>Debian Linux FreeRADIUS RADIUS Samba ActiveDirectory}}
связка_freeradius_active_directory.1667400845.txt.gz · Last modified: 2022/11/02 14:54 by jp