freeradius+peap+mschapv2
Michal Dobes
dobes na tes.eu
Pátek Září 12 00:58:12 CEST 2008
Petr Safrata napsal(a):
> Ma nekdo rozchozeny winxp jako suplikant s overenim peap+mschapv2.
>
> Opravdu neresil nikdo podobny problem?
Řešil a už roky spokojeně používá. :-)
Klienti Win2K/XPsp2 s PEAP/MSCHAP2 a použito v kombinaci s VPNkou
L2TP/IPsec (složenina racoon/l2tpd/pppd), 802.1x na Ethernetu
a i na Wifině s WPA2/802.1x, a to včetně blbostí typu používání proxy
radius serverů a přeposílání ověřování mezi několika servery
v závislosti na doméně.
Uživatele neověřuji z users databáze, ale přes ntlm z domény.
Soubor users používám jen doplňkově pro filtrování povolených MAC
klientů.
Když jsem si s tím kdysi hrál s uživateli z lokálního users, tak tam
jsem je psal takto:
# Overeni PEAP nebo TTLS/MS-CHAPv2 hesla
"clovek" User-Password == "HesloHeslo", Auth-Type == EAP|MS-CHAP
Jen takový poznatek, v případě PEAP/MSCHAP2 to vypadá, že Woknům je
certifikát serveru celkem volný, nerozhodí je (jak jsem s překvapením
zjistil) ani když ten certifikát radiusu je s vypršenou platností.
Obsah certifikátu se zkoumá důkladněji asi jen v případě, že dojde na
EAP/TLS, TTLS a podobné.
M.
Další informace o konferenci Linux