Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3:windowsad [2018/04/09 21:05] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radius:freeradius3:windowsad [2019/09/12 10:57] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | <box 70% center rgb(255,247,239) #000000 rgb(255,133,133) rgb(10,82,122)> | ||
+ | \\ | ||
+ | Níže uvedený návod funguje jen pokud MS AD podporuje NTLMv1 což je zastaralý a nedoporučovaný protokol, viz článek [[https://blogs.technet.microsoft.com/miriamxyra/2017/11/07/stop-using-lan-manager-and-ntlmv1/|Stop using LAN Manager and NTLMv1!]].\\ | ||
+ | \\ | ||
+ | |||
+ | Pokud jsou účty z MS AD použivány ke kritickým systémům insituce, jako např. mzdové agendy. Je vhodné používat oddělené eduroam heslo od hlavního hesla do MS AD. | ||
+ | |||
+ | Délka hesla nehraje roli. | ||
+ | |||
+ | Nejdůležitějším prvkem zabezpeční je to aby uživatelé ověřovali certifikát a hostname RADIUS serveru, tj. aby používali eduroam CAT. Což hojně nečinní. | ||
+ | |||
+ | </box> | ||
+ | |||
====== Nastavení ověřování Freeradiusu přes Windows AD ====== | ====== Nastavení ověřování Freeradiusu přes Windows AD ====== | ||
Řádek 61: | Řádek 74: | ||
Soubor ''/etc/nsswitch.conf'': | Soubor ''/etc/nsswitch.conf'': | ||
<file> | <file> | ||
- | passwd: compat files windbind | + | passwd: compat files winbind |
- | group: compat files windbind | + | group: compat files winbind |
- | shadow: compat files windbind | + | shadow: compat files winbind |
</file> | </file> | ||
Tj. ke stávajícím definicím ověřování passwd, group a shadow přidáme winbind. | Tj. ke stávajícím definicím ověřování passwd, group a shadow přidáme winbind. | ||
Řádek 132: | Řádek 145: | ||
chown root:freerad /var/lib/samba/winbindd_privileged | chown root:freerad /var/lib/samba/winbindd_privileged | ||
</file> | </file> | ||
- | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. | + | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. Je třeba zajistit aby změna byla presistentní a přežila i upgrady systému, tj. např. to přidejte do startovacího skriptu FreeRADIUSu. |
V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku |