Samba 4.6.x + freeradius + 802.1x

 ( _ventura_ | 2017. május 3., szerda - 9:17 )

Telepíteném a fent említett kombót, de nem akar működni. A samba forgatva van a /usr/local/samba alá, forgattam 4.5.x verziót azzal se jobb a helyzet. Fórumokon eddig csak azt olvastam hogy a winbindd_privileged hez nem fér a radius de ez nem igaz, vagy nem tudom hogy kéne hozzáengedni, mert a jogosultságok jók.

ntlm_auth parancs működik visszaadja, hogy user ok.

Forgattam már a sambát a /usr/ /var/ stb alá hátha nem találja a /usr/local/samba alatt a freeradius a winbind_privileged fájlt, de ezzel se működött.

Viszont ha csomagból felrakom a sernet-samba-ad csomagot amin sajna még 4.2.x es az csont nélkül megy mindenféle konfig módosítás nélkül.

Az OS amire telepíteném az CentOS 7.

Jelenleg ez az üzenet fogat a freeradiusban:

Wed May 3 09:15:04 2017 : Error: Program returned code (1) and output 'Logon failure (0xc000006d)'
Wed May 3 09:15:04 2017 : Debug: (7) mschap : External script failed
Wed May 3 09:15:04 2017 : ERROR: (7) mschap : External script says: Logon failure (0xc000006d)
Wed May 3 09:15:04 2017 : ERROR: (7) mschap : MS-CHAP2-Response is incorrect

Egyelőre kifogytam az 5letekből és a google találatokból (vagy csak nem látom a fától az erdőt :D)

UI: most felraktam a samba 4.4.4 et, azzal jó, elképzelhető hogy az újabbakban mivel letiltásra került az ntlm v1, még kéne valami beállítás ?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Selinux nem fogja meg?

Az az első, hogy kikapcsolom :D

De mint kiegészítettem 4.4.x es samba-val jó, lehet az ntlm v1 tiltása okozná a gondot.

Fedora 25, Thinkpad x220

Tudom hogy nem közvetlen válasz a kérdésedre, de ha sok kliensed van akkor nézd meg https://packetfence.org/
Megy Samba AD-vel is!

Ott van a rilíznóccban benne:

NTLMv1 authentication disabled by default
-----------------------------------------

In order to improve security we have changed
the default value for the "ntlm auth" option from
"yes" to "no". This may have impact on very old
clients which doesn't support NTLMv2 yet.

The primary user of NTLMv1 is MSCHAPv2 for VPNs and 802.1x.

Szóval az MSCHAPv2-höz (amit a log szerint használsz) szükség lenne erre.

Amúgy személy szerint azt gondolnám, hogy esetleg inkább meg kéne engedni a freeradiusnak, hogy kiolvashassa az NT hash-t az LDAP-ból (nálunk így megy a 802.1x), és akkor nem kell engedélyezni az amúgy unsecure NTLMv1-et a sambádban, mert annak kicsit nagyobb a security impactja, ha valódi kliensek használják ezt.