Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:radius:freeradius3:windowsad [2019/01/10 12:45] javo3424@upce.cz |
cs:spravce:pripojovani:radius:freeradius3:windowsad [2020/02/04 17:43] (aktuální) jan.tomasek@cesnet.cz |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| + | <box 70% center rgb(255,247,239) #000000 rgb(255,133,133) rgb(10,82,122)> | ||
| + | \\ | ||
| + | Níže uvedený návod funguje jen pokud MS AD podporuje NTLMv1 což je zastaralý a nedoporučovaný protokol, viz článek [[https://blogs.technet.microsoft.com/miriamxyra/2017/11/07/stop-using-lan-manager-and-ntlmv1/|Stop using LAN Manager and NTLMv1!]].\\ | ||
| + | \\ | ||
| + | |||
| + | Pokud jsou účty z MS AD použivány ke kritickým systémům insituce, jako např. mzdové agendy. Je vhodné používat oddělené eduroam heslo od hlavního hesla do MS AD. | ||
| + | |||
| + | Délka hesla nehraje roli. | ||
| + | |||
| + | Nejdůležitějším prvkem zabezpeční je to aby uživatelé ověřovali certifikát a hostname RADIUS serveru, tj. aby používali eduroam CAT. Což hojně nečinní. | ||
| + | |||
| + | </box> | ||
| + | |||
| ====== Nastavení ověřování Freeradiusu přes Windows AD ====== | ====== Nastavení ověřování Freeradiusu přes Windows AD ====== | ||
| Řádek 132: | Řádek 145: | ||
| chown root:freerad /var/lib/samba/winbindd_privileged | chown root:freerad /var/lib/samba/winbindd_privileged | ||
| </file> | </file> | ||
| - | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. | + | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. Je třeba zajistit aby změna byla presistentní a přežila i upgrady systému, tj. např. to přidejte do startovacího skriptu FreeRADIUSu. |
| V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | ||
| Řádek 153: | Řádek 166: | ||
| * https://www.eduroam.us/node/89 | * https://www.eduroam.us/node/89 | ||
| * https://wiki.samba.org/index.php/Samba,_Active_Directory_&_LDAP | * https://wiki.samba.org/index.php/Samba,_Active_Directory_&_LDAP | ||
| - | * teorie vysvětlená Jiřím Benešem v konferenci [[https://random.cesnet.cz/pipermail/eduroam-admin/2017-March/001244.html|eduroam-admin ve vlákně freeradius a AD]] | + | * teorie vysvětlená Jiřím Benešem v konferenci [[https://random.cesnet.cz/mailman/private/eduroam-admin/2017-March/001244.html|eduroam-admin ve vlákně freeradius a AD]] |
| * https://technet.microsoft.com/en-us/library/jj852207%28v=ws.11%29.aspx | * https://technet.microsoft.com/en-us/library/jj852207%28v=ws.11%29.aspx | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz