标签: radius

用户（我们将称他们为“用户名”）不断被锁定，我不知道为什么。另一个错误密码每 20 分钟记录一次。

PDC 仿真器 DC 正在运行 Server 2008 R2 Std。为锁定记录了事件 ID 4740，但呼叫者计算机名称为空：

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/29/2015 4:18:14 PM
Event ID:      4740
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FQDNofMyPDCemulatorDC
Description:
A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       MyPDCemulatorDC$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        MYDOMAIN\username
    Account Name:       username

Additional Information:
    Caller Computer Name:   

锁定源 DC 正在运行运行 IAS (RADIUS) …

我正在 pfSense 2.3-RELEASE 盒中部署一个 IKEv2 VPN，对 RADIUS 服务进行身份验证。但是当 RADIUS 服务器关闭时，我担心这种方法的复杂性。

由于 RADIUS 在 pfSense 盒子后面，如果发生故障，我将失去连接到 IKEv2 VPN 的能力，并且没有任何进入 LAN 的选项。

我可以使用 pfSense 框中的本地用户帐户使用一些后备模式来做一个简单的解决方法，但问题是这种“后备模式”。这甚至存在？

在这种情况下有哪些选择？

我的任务是设置 freeRADIUS 以提示用户输入他们的第二个身份验证因素（例如 Google Authenticator OTP），但没有先检查用户的密码。

我完全盲目地进入了这个领域，之前没有 RADIUS 经验。我们有一个提示用户登录的 web 应用程序，因此密码身份验证已经完成。然后，我们需要提示用户输入第二个身份验证因素以执行某些操作。我们不想反复要求用户输入他们的密码（并且在本地缓存它显然是一个禁忌）所以我们想要做的是以某种方式配置 freeRADIUS，以便它：

• 忽略我们在初始请求中为密码传递的值
• 返回一个质询响应，提示用户输入他们的第二个身份验证因素（例如 OTP）

这甚至可行吗？就像我说的，我之前没有任何 RADIUS 经验，所以如果这是一个愚蠢的问题，我深表歉意。

设想...

我有一个无线网络，供学生用来访问 Internet。每个学生都有一个 Active Directory 帐户。是否可以将我的 AP 配置为要求它们使用 AD 凭据连接到网络？如果是这样，那是否需要服务器或计算机上的任何证书？如果可能的话，我想避免这种情况，因为我不想管理他们的计算机。

我有一台安装了 IAS 服务的 Win2k3 服务器和 3Com AP (3CRWE454G72)。

是否有任何软件产品可以自动执行此操作或使其更容易？

我们已经在有线网络上正确配置了 LDAP+Kerberos。

现在我们希望我们的用户使用他们的普通凭据登录到我们的 WiFi 网络。我发现了很多关于 LDAP+RADIUS 的 HOWTOS，但没有一个在包中提到 Kerberos。任何人都可以向我指出有关将 RADIUS 与 Kerberos 集成的良好 HOWTO 吗？我在 Usenet 上只找到了这篇简短的文章和一些非信息性的帖子。

编辑：系统是使用 OpenLDAP 和 Heimdal (Kerberos) 的 Gentoo Linux。WiFi 硬件是几个带有 OpenWRT 的 Linksys WRT54GL。

我在设置 FreeRadius 服务器以允许来自所有外部 IP 地址的连接时遇到问题。我的热点系统基于 CoovaAP 和定制的强制门户，它与 CoovaChilli 通信（部署在路由器上，而不是服务器上）。路由器通过以太网连接到调制解调器。Captive Portal 与radius mysql 数据库通信以验证热点授权。一切正常，直到调制解调器 IP 地址更改。

这是 /etc/raddb/clients.conf 中的示例：

client x.x.x.x {
  secret = 12345
  shortname = name
}

因此，xxxx ip 地址在某种程度上需要是动态的。而且我不知道如何将调制解调器的外部 IP 地址同步到 Radius 数据库以使其工作。

问题是：如何让freeradius 接受来自所有ip 地址的连接或将modem 的外部ip 地址同步到radius 数据库中。

谢谢

将第三方根 CA 证书导入 Windows 域中的企业 NTAuth 存储，除了信任 CA 颁发证书之外，还有哪些风险？

这是为了测试目的，以解决无线客户端在连接到无线网络并通过在 WS2012 R2 上运行的新 NPS 服务器进行身份验证时收到 Windows 安全警报的问题。

Root CA 证书已存在于Trusted Root Certificate Authorities下的客户端计算机的计算机存储中，但该窗口仍会在首次连接尝试时出现。

目标是摆脱弹出窗口：

编辑：我会详细说明一点。

目标：

• 允许加入域的设备通过 NPS 进行身份验证；
• 使用第三方证书；
• 用户不应得到安全警告弹出窗口；

使用 WS2012R2 上的 NPS。PEAP/MsCHAPv2 用于身份验证。

有谁知道是否可以将 pam 配置为需要 radius 和 ssh-key 才能成功进行身份验证？

我们将在远程站点设置三级 RADIUS 服务器。到目前为止，对 RADIUS 数据库的更改都是手动完成的，因为它只有 2 个服务器。随着第三个上线，我想看看是否有某种方法可以使用 Windows Server 2008 R2 在 RADIUS 服务器之间同步更改。

我正在尝试通过 Radius 为我的网络创建一个身份验证系统。最终，我希望网络上的所有机器在获得对任何其他网络资源的访问权限之前都通过 Radius 进行身份验证，并且我希望能够记录每台机器的活动。

现在，婴儿的步骤。我有一台运行 Ubuntu 的 Linux 服务器，它连接到 TP-LINK 非托管交换机。连接到 TP-LINK 非托管交换机（这对我来说以后会不会有问题？），我有一台运行 Ubuntu 的服务器，成功安装了 RADIUS，并且 radtest 在本地主机上运行，​​一台运行 vista 的 Windows 笔记本电脑和一台 Macbook pro。

交换机为每台机器分配一个 IP，如下所示：169.254.108.110。至少在Macbook pro 和Ubuntu 服务器之间，它们可以互相ping 通。现在，我将如何通过 Macbook pro 在我的 Ubuntu 服务器上使用 Radius 进行身份验证？

在大学里，我是一群为学生保持服务器基础设施运行的学生中的一员。最近我们在服务器上遇到了很多麻烦，我们决定从头开始并重新安装所有东西可能更好。

目前我们使用 PAM (libpam-mysql) 进行用户认证。用户需要能够使用他们的帐户通过 SSH、FTP、SMB（Samba）、邮件服务器、我们的网站登录，也许将来还有 ownCloud。大多数用户管理是通过网站（PHP、MySQL）进行的，用户也可以在这里配置他们的托管包（包括 vhosts）。所有的服务器都在运行 Debian。

一位新人向我指出，如果我们无论如何都要重新安装所有东西，那么使用 Radius 代替 PAM 对我们来说可能更好。我本人（相对较新）对这两者都没有经验，而且在对此事进行一些研究时，事实证明 Google 出人意料地没有帮助。

对于我们的用例，但总的来说，哪个更适合？一个比另一个有什么大的优势吗？

提前致谢。