cs:spravce:pripojovani:radius:freeradius3:windowsad

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Poslední revize Obě strany příští revize
cs:spravce:pripojovani:radius:freeradius3:windowsad [2019/01/10 12:45]
javo3424@upce.cz
cs:spravce:pripojovani:radius:freeradius3:windowsad [2019/09/12 10:57]
jan.tomasek@cesnet.cz
Řádek 1: Řádek 1:
 +<box 70% center rgb(255,​247,​239) #000000 rgb(255,​133,​133) rgb(10,​82,​122)>​
 +\\
 +Níže uvedený návod funguje jen pokud MS AD podporuje NTLMv1 což je zastaralý a nedoporučovaný protokol, viz článek [[https://​blogs.technet.microsoft.com/​miriamxyra/​2017/​11/​07/​stop-using-lan-manager-and-ntlmv1/​|Stop using LAN Manager and NTLMv1!]].\\
 +\\
 +
 +Pokud jsou účty z MS AD použivány ke kritickým systémům insituce, jako např. mzdové agendy. Je vhodné používat oddělené eduroam heslo od hlavního hesla do MS AD. 
 +
 +Délka hesla nehraje roli. 
 +
 +Nejdůležitějším prvkem zabezpeční je to aby uživatelé ověřovali certifikát a hostname RADIUS serveru, tj. aby používali eduroam CAT. Což hojně nečinní.
 +
 +</​box>​
 +
 ====== Nastavení ověřování Freeradiusu přes Windows AD ====== ====== Nastavení ověřování Freeradiusu přes Windows AD ======
  
Řádek 132: Řádek 145:
 chown root:​freerad /​var/​lib/​samba/​winbindd_privileged chown root:​freerad /​var/​lib/​samba/​winbindd_privileged
 </​file>​ </​file>​
-a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři.+a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. Je třeba zajistit aby změna byla presistentní a přežila i upgrady systému, tj. např. to přidejte do startovacího skriptu FreeRADIUSu.
  
 V souboru ''/​etc/​freeradius/​mods-enabled/​mschap''​ se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku V souboru ''/​etc/​freeradius/​mods-enabled/​mschap''​ se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku
Poslední úprava:: 2020/02/04 17:43