Добрый день.
Есть необходимость проводить аутенитификацию на удаленном сервере.
Подскажите пожалуйста нужно ли добавлять какое то шифрование?
Значит схева такая.
/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/

Радиус и лдап можно поставить на одну машину и пароли передавать через 127.0.0.1.
Но вот РОРТор сервера. Они на разных машинах и соответственно логин-пароль передается по сети. Тоесть теоретически можно перехватить. Но вопрос, он передаётся там зашифрованым или нет?
Если зашифрованым, то хорошо.
а если нет?
Как его можно зашифровать?
Я не смог радиус заставить собраться с САСЛ.
Это возможно?
Как это сделать?

• Нужно ли прикручивать шифрование в связке PopTop + Radius + ...,Dmk, 12:27 , 31-Июл-06
  • Нужно ли прикручивать шифрование в связке PopTop + Radius + ...,schizoid, 12:49 , 01-Авг-06
    • Нужно ли прикручивать шифрование в связке PopTop + Radius + ...,Dmk, 16:02 , 01-Авг-06
      • Нужно ли прикручивать шифрование в связке PopTop + Radius + ...,schizoid, 17:08 , 01-Авг-06

>Добрый день.
>Есть необходимость проводить аутенитификацию на удаленном сервере.
>Подскажите пожалуйста нужно ли добавлять какое то шифрование?
>Значит схева такая.
>/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/
>
>Радиус и лдап можно поставить на одну машину и пароли передавать через
>127.0.0.1.
>Но вот РОРТор сервера. Они на разных машинах и соответственно логин-пароль передается
>по сети. Тоесть теоретически можно перехватить. Но вопрос, он передаётся там
>зашифрованым или нет?
>Если зашифрованым, то хорошо.
>а если нет?
>Как его можно зашифровать?
>Я не смог радиус заставить собраться с САСЛ.
>Это возможно?
>Как это сделать?

Если мы говорим о freeradius, то:
1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать открытым текстом {CLEARTEXT}.
2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д. - то в этом случае
с радиусом будет работать только PAP.

Выбирайте что Вам больше нравится.

>Если мы говорим о freeradius, то:
>1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать
>открытым текстом {CLEARTEXT}.
>2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д.
>- то в этом случае
>с радиусом будет работать только PAP.

схева такая.
/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/

Да. Говорим про Фрирадиус.

Во втором варианте получается от Вин-пользователей будет идти незашифрованый пароль?
Не подходит.

В первом варианте:
Да, пользуем МСЧАП.
В лдапе пароли открытым текстом.

Так от Поп сервера к радиусу передается зашифрованый пароль или открытый?

>>Если мы говорим о freeradius, то:
>>1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать
>>открытым текстом {CLEARTEXT}.
>>2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д.
>>- то в этом случае
>>с радиусом будет работать только PAP.
>
>схева такая.
>/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/
>
>Да. Говорим про Фрирадиус.
>
>Во втором варианте получается от Вин-пользователей будет идти незашифрованый пароль?
>Не подходит.
>
>В первом варианте:
>Да, пользуем МСЧАП.
>В лдапе пароли открытым текстом.
>
>Так от Поп сервера к радиусу передается зашифрованый пароль или открытый?

Трафик между nas и radius в любом случае шифрованный - независимо от метода аутентификации.

читаем /etc/freeradius/clients.conf

#  The shared secret use to "encrypt" and "sign" packets between
#  the NAS and FreeRADIUS.  You MUST change this secret from the
#  default, otherwise it's not a secret any more!

>Трафик между nas и radius в любом случае шифрованный - независимо от
>метода аутентификации.
>
>читаем /etc/freeradius/clients.conf
>
>#  The shared secret use to "encrypt" and "sign" packets between
>#  the NAS and FreeRADIUS.  You MUST change this secret
>from the
>#  default, otherwise it's not a secret any more!

Спасибо.
Успокоили старика :)