尝试针对不同的域/ Windows域设置VPN身份验证。 我正在使用OpenVPN Access Server,它将所有身份验证请求(用户@域形式的用户名)定向到具有所需proxy.conf和realms配置的FreeRADIUS服务器(3.0.15),以便将访问请求转发(代理)到home服务器。 OpenVPN配置为使用MS-CHAPv2。 家庭服务器也是freeRADIUS,版本相同。家庭服务器是Windows域(samba 4.6)的成员,其clients.conf文件包含proxyRADIUS服务器作为“NAS”....等。 在samba / winbind检查等方面,家庭服务器上没有问题。事实上,如果我直接向OpenVPN发送请求(无代理),使用username = sAMAccountName,通过LDAP工作进行身份验证和组成员身份检查正如所料。 但是,如果请求被代理,则主服务器中的mschap模块将报告: (0)mschap:错误:程序返回代码(1)并输出'登录失败(0xc000006d)' (0)mschap:外部脚本失败 (0)mschap:错误:外部脚本说:登录失败(0xc000006d) (0)mschap:错误:MS-CHAP2-响应不正确
(在调试模式下从radiusd上面输出)
作为一种测试方式,代理请求没有问题我在域控制器上启用了NPS并开始代理请求并且身份验证无问题,因此,无论什么原因,当主服务器尝试进行身份验证时代理请求NT-Response(或至少由mschap模块管理)似乎不正确。 我知道旧版本的samba中存在一个关于NT-Response的错误,但我不认为这是问题,我认为它在几年前得到修复。 有没有人遇到类似的问题? 谢谢! PS:代理和家庭RADIUS在BSD 10.3中运行
答案 0 :(得分:0)
修正了此问题。使用" nostrip"在proxyRADIUS中进行域定义,以便用户剥离发送到主服务器包括user @ domain。在家庭服务器中," proxy.conf"文件,定义领域但没有服务器池,因此领域被视为LOCAL但仅使用用户名(没有@domain)创建挑战。那是