AD 域 实现 MSCHAPV2 认证

最新推荐文章于 2024-03-19 14:56:29 发布
原创 最新推荐文章于 2024-03-19 14:56:29 发布 · 3.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何通过WAC(linux)加入AD域实现wpa(2)企业级认证的过程,包括配置samba套件、修改smb.conf文件、加入AD域及认证测试等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在做无线的 wpa(2) 企业认证,eap-peap(mschapv2) 认证,  用户信息保存在 AD域中
终结模式

wac  +  AD 域认证实现 : wpa(2) 认证eap-peap(mschapv2) 

wac 为 linux           要求AD 域认证 最简单的办法就是 将 wac (linux )加入到 AD 域 (在这里使用 samba 套件)

samba 依赖krb

使用 的samba 套件工具主要有 :

winbindd :(与 AD 域通信实现认证)   必须要的
net  :(将wac 加入到 AD 域)                 必须要的

testparm : 测试 smb.conf 配置文件
ntlm_auth:    认证测试

修改 smb.conf 文件
在 
[global] 
中修改
workgroup = xx  //这个就是 在登录到windows 的时候【登录对话框:输用户密码的那个对话框】的那个 "登录到" 字符串
security = domain

其余可以保持不变
可以通过 testparam 查看 smb.conf 文件, 直接输入 testparm 


加入到域
(1)         net rpc join -S sangfor-53de0cc.wuliang.com -U administrator%qwer1234 --port=445 -I 172.16.4.114
(2)        重启一下  winbindd

-S 后面的为:完整的计算机名称 , 这个可以通过查看  “系统属性”-》 计算机名 选项卡    (右击 “我的电脑(计算机) / 属性”)
-U 为: 用户名 %  密码    
--port 为端口  445  , 这个也可以不要
-I  为 AD域对应的 ip 地址

加入域成功后可以进行测试:

ntlm_auth --username=administrator  --challenge=8f652405cb4c2545 --nt-response=7148fe0d1c18dd2dae091ea4f02473b1d13b37453f175ceb --request-nt-key
(知道 mschapv2 算法的人应该可以看懂上面语句的意思)
// 返回 NT_KEY
(NT_KEY 为明文密码的两次 MD4)

或者 ntlm_auth  --username=administrator  --password=qwer1234
//返回 认证成功标识 

如果加入域成功而认证失败提示  没有 登录服务器

可能的原因:  
 
DNS  解析 完整的计算机名称 失败
// winbindd 和 net 还会发送 137(UDP) 的广播包 (NetBIOS 解析 计算机名称来获取IP, 在二层内可能会成功)

可以配置 DNS或者  
修改 /etc/hosts 文件
# ip    网站的计算机名称

这里 认证主要是改动了 ntlm_auth 这个工具

samba 默认的实现方式为:

ntlm_auth <---------Unix 域套接字--------->winbindd <-----------TCP(445)------------->AD 域机器


Eduroam接入认证MSCHAPv2分析及口令存储方式
cqwei1987的博客
07-09 4765
本文从Eduroam出发,进一步探讨MSCHAPV2认证方式,及其对口令存储的要求。经过系统分析,我们发现MSCHAPv2要求存储口令明文或者口令的MD4hash值,不支持带盐hash。
认证方式探讨 EAP-MSCHAPV2
狂奔蜗牛的专栏
05-18 1万+
这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:           MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个resp
PEAP-MSCHAPV2的论证
04-02
PEAP-MSCHAPV2的论证的基本流程,和一些相关的设置方法。
lwip_ppp_MS-CHAP V2
09-13
lwip_ppp_MS-CHAP V2 lwip中在PPP关于MS-CHAP V2实现为空的 本文不仅实现了MS-CHAP ,还实现了MS-CHAP V2 其中用的加密算法,需要自己实现或者挂接到现有的系统实现中 解压密码:iam593
java eap协议,[ZZ]认证方式探讨 EAP-MSCHAPV2
weixin_31817039的博客
03-13 503
认证方式探讨 EAP-MSCHAPV2MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个response,两个response相比较完成验证....
CHAP MS-CHAPv2 EAP
lepton126的专栏
10-16 3119
在配置vpn客户端时,经常会由于在安全选项中的选择协议的不同,造成配置不成功的问题,我们经常遇到身份验证协议主要有三种,CHAP、MS-CHAPv2和EAP。 CHAP挑战握手协议:先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向 散例,即md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令 password2,进行同样的算...
mschapv2在Radius中的认证实现
weixin_33858336的博客
03-30 1325
2019独角兽企业重金招聘Python工程师标准>>> ...
AD与ACS结合做802.1x认证
08-29
1. ACS服务器必须先加入到AD中。 2. 安装过程简单,按照向导操作即可,同时需要安装Java插件以支持相关功能。 3. 在ACS服务器上申请并安装证书,用于确保通信的安全性。通过访问证书服务器,提交证书请求,选择...
LDAP服务器不支持chap认证,终端使用EIA进行PEAP-GTC认证失败的原因分析
weixin_39884492的博客
07-30 3094
跟现场确认,现场认证的账号是从通用LDAP服务器同步过来的,配置的是PEAP-GTC认证。让现场反馈认证时的UAM调试日志和抓包;首先分析UAM调试日志如下:%% 2017-12-05 16:04:30.091 ; [LDBG] ; [11196] ; LAN ; 2017011@****.cn ; 1 ; 1593b1277566447c9b5a93c04581609c ; Received m...
ACS和AD整合.pdf
10-01
6. 重启ACS服务并配置PEAP(Protected Extensible Authentication Protocol):启用EAP-MSCHAPv2、EAP-GTC、MS-CHAPv1和MS-CHAPv2认证方法。 7. 配置AAA(Authentication, Authorization, and Accounting)客户端:...
mschapv2acc:不应使用 MS-CHAP-V2..
05-31
mschapv2acc 不应使用 MS-CHAP-V2... 什么? mschapv2acc是 MS-CHAP-V2 审计/破解工具的概念证明。 它使用和密码算法的快速实现。 主要目标是表明需要更改其他更强大的协议。 所以? 只是看看... 标准模式 改进模式 安装 您需要具有SSE2支持的处理器。 可以使用gcc为Linux / Mac OS X编译该工具。 只需提取存档: ~$ tar xfvz mschapv2acc-x.y.z.tar.gz ~$ cd mschapv2acc-x.y.z 或者用 git 克隆: ~$ git clone https://github.com/polkaned/mschapv2acc ~$ cd mschapv2acc 或结帐与颠覆: ~$ svn checkout --depth empty https://github.c
AD控入网检测
最新发布
03-13
- **PEAP-MSCHAPv2**:使用AD凭证验证,配置时需设置 `auth=MSCHAPV2`。 **典型配置片段**: ``` option auth 'auth=MSCHAPV2' # 引用自WPA企业类型配置 ``` #### 4. **网络策略服务器(NPS)策略** 在NPS中定义...
信锐NAC 3.3R3版新特性:802.1x WEP认证与EAP-TTLS
通过虚拟服务器,系统可以实现TTLS-PAP和EAP-MSCHAPv2两种认证方式,简化了企业级认证流程。实现方法包括将NAC加入AD,建立与AD的winbindd会话连接,然后通过winbindd传递认证信息并接收认证结果。 在MAC地址库...
8021x认证中的MSCHAPv2流程
h_wlyfw的专栏
03-19 959
MSCHAPv2认证流程
使用 freeradius 搭建 EAP PEAP MS-CHAPv2 验证环境
热门推荐
洪伟的专栏
12-16 1万+
企业级 Wi-Fi 搭建起来有点小复杂,我们知道自己家使用的 Wi-Fi 非常简单,几乎只需要配置一下热点的 SSID 和密码就可以了,实际上这是两种 Wi-Fi 认证类型。想要快速部署企业级 Wi-Fi 验证环境,首先要理解企业级 Wi-Fi 部署的一些核心组件以及相应的协议。 一、Wi-Fi 认识 Wi-Fi(发音:/ˈwaɪfaɪ/,法语发音:/wifi/),在中文里又称作“行动热点”,是 Wi-Fi 联盟制造商的商标做为产品的品牌认证,是一个创建于 IEEE 802.11 标准的无线局网技术。基于
【逗老师带你学IT】AD控和freeradius集成认证环境,PAP,MSCHAPV2
逗老师的博客
03-09 6689
目录一、必要环境安装二、配置HOST文件编辑/etc/hosts ,追加添加RADIUS认证服务器HOST解析三、配置SAMBA1、编辑/etc/samba/smb.conf2、编辑/etc/krb5.conf3、编辑/var/kerberos/krb5kdc/kdc.conf四、配置freeradius 和winbind1、配置 /etc/nsswitch.conf2、复制、创建相关服务3、测试...
EAP-MSCHAPv2
朱金华的专栏
04-24 1万+
近期中移需要EAP-SIM/AKA, EAP-MSCHAPv2, EAP-PEAP等,编写产品需求中,多看点协议。学习EAP-MSCHAPv2协议,下面是自己的理解及部分段落的翻译,看的是,Microsoft EAP CHAP Extensions      draft-kamath-pppext-eap-mschapv2-02.txt  2007也不知是不是最新的 E
MySQL的chap服务器_mschapv2在Radius中的认证实现
weixin_39880632的博客
02-02 538
mschapv2在Radius中的认证实现在Radius的认证请求AccessRequest包中如果包含 MS-CHAP2-Response 和 MS-CHAP-Challenge 属性则意味着需要实现ms-chap-v2认证。客户端 MS-CHAP2-Response 和 MS-CHAP-Challenge 生成的规则MS-CHAP-ChallengeMS-CHAP-Challenge (即Au...
FreeRadius: MS-CHAP v2
Huntinux
12-28 3889
https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handshake Authentication Protocol, CHAP. The protocol exists in two versions, MS-CHAPv1 (defined in RFC 2433
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值