Как заставить аутентификацию LDAP работать по EAP

Question

Я работаю над настройкой аутентификации 802.1x через коммутатор 6224 Dell на FreeRADIUS, который проверит на сервере LDAP пользователя и получит TunnelPrivateGroupId и другие данные для коммутатора.

Я уже настроил пользовательские атрибуты и карту атрибутов на FreeRADIUS для получения своих пользовательских атрибутов из LDAP.

В localhost аутентификация работает нормально, и я могу получить свои пользовательские атрибуты. Но хотя мой компьютер (который говорит с EAP-PEAP), мой FreeRadius проверяет модуль ldap, но никогда не устанавливает Auth-Type на LDAP.

Мой компьютер -> Переключатель -> FreeRADIUS -> LDAP

снимок экрана с попыткой аутентификации на моем компьютере

Где красная стрелка находится там, где Auth-Type записывается модулем, когда аутентификация в порядке, но это никогда не происходило. Как я еще раз говорю, в localhost аутентификация работает нормально, и Auth-Type записывается модулем, потому что он не выполняется методом EAP PEAP.

Я внес все изменения в сайты по умолчанию и на внутренние туннели, чтобы он работал на локальном хосте и с моего коммутатора.

Если у вас есть идея, я беру ее ^^ (Я пытаюсь объяснить мою проблему настолько, насколько могу. Извините за любые английские ошибки, это не мой основной язык)

Answer 1

См. Эту строку WARNING: No "known good" password found in LDAP.... Это не просто для украшения :) 1002 *

Проблема в том, что вы неправильно сопоставили атрибут LDAP с атрибутом Password-With-Header в FreeRADIUS.

Убедитесь, что в вашем файле атрибута LDAP для Password-With-Header и NT-Password есть сопоставления и что атрибуты LDAP (справа от сопоставления) действительно существуют в объекте User в LDAP.

Какие методы EAP вы можете использовать, зависит от того, какие у вас атрибуты пароля. Если у вас есть хешированная версия пароля в LDAP и нет атрибута NT-Password, вы ограничены EAP-TTLS-PAP, и вы должны закомментировать любые ссылки на PEAP в вашем файле eap.conf, чтобы сервер не мог согласовать его.