Forum Linux.debian/ubuntu freeradius & active directory

Posté par  .
Étiquettes : aucune
0
8
juil.
2008
Bonjours,

J'ai mis en place une méthode d'identification 802.1x avec l'architecture suivante :

Client (windows xp ou vista :'( ) ==> switch cisco ==> freeradius (version 2.0.5) ==> winbind ==> Samba ==> active directory (windows 2003).

Tout fonctionne parfaitement quand les utilisateurs se log avec leur login et pass , par contre ils sont obligé de s'identifier 2 fois , une premiere fois pour l'identification 802.1x et la deuxieme fois pour s'identifier sur le domaine (sinon gros problème si on change le pass de l'utilisateur dans l'ad ) et apparemment cela irrite les gros feignants de chef de rentrer 2 fois leur log et pass ...
Je voudrais donc savoir comment identifier le pc qui se trouve bien sur dans l'ad par son nom , plutôt que d’identifier par log et par pass.
je suppose qu'il fau modifier la command suivante qui se trouve dans radiusd.conf :

ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped-User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -$

Merci d'avance pour vos réponses .

  • # freeradius & active directory

    Posté par  . Évalué à 1.

    Bonjour,
    Il faut pour empêcher la double connexion, cocher la case "Utiliser automatiquement mon nom d'ouverture de session et mon mot de passe Windows ..."

    On trouve cette case :

    - Dans l'Onglet "Authentification" des "Propriétés de Connexion au réseau local",
    - puis type EAP "EAP protégé (PEAP)"
    cliquer sur la case "Propriétés"
    - Aller en bas selectionner "Mot de passe ...(EAP-MSCHAPv2)"
    et cliquer sur la case "Configurer"

    et voilà !!!

    Par contre je suis intéressé par votre conf car j'avais fais :

    Client (windows xp) ==> switch cisco ==> freeradius (version 1.1.3) ==>ldap qui marchait très bien

    mais je dois faire la même que vous :

    Client (windows xp) ==> AP cisco ==> freeradius (version 2.0.5) ==> winbind ==> Samba ==> active directory (windows 2003).

    Pourriez-vous m'aider ?

    Merci d'avance.

    • [^] # Re: freeradius & active directory

      Posté par  . Évalué à 1.

      Bonjours ,
      malheureusement j'avais déjà sélectionné cette option ...
      Lorsque le PC est démarré et qu'il se trouve sur l'écran de login celui si envoi des requête au serveur radius de la forme host/lenomdupc , mais malheureusement l'accès est refusé car le ntlm_auth na pas été configuré pour retransmettre cette forme de login .

      Si on coche donc "Utiliser automatiquement mon nom d'ouverture de session et mon mot de passe Windows ..." une authentification machine sera faite au départ , ce qui ne change pas le problème car le suplicant de windows ne veu vraiment pas ouvrir de session 802.1x avant l'ouverture de la session local (donc demande a l'active directory dans le vend et tout ce qui est gpo pareil ... )

      Pas de problème pour l'aide , la configuration sera je pense sensiblement la même .

      problème : how to ntlm_auth ^^ .

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.