在做無線的 wpa(2) 企業認證,eap-peap(mschapv2) 認證, 用戶信息保存在 AD域中
終結模式
wac + AD 域認證實現 : wpa(2) 認證eap-peap(mschapv2)
wac 爲 linux 要求AD 域認證 最簡單的辦法就是 將 wac (linux )加入到 AD 域 (在這裏使用 samba 套件)
samba 依賴krb
使用 的samba 套件工具主要有 :
winbindd :(與 AD 域通信實現認證) 必須要的
net :(將wac 加入到 AD 域) 必須要的
testparm : 測試 smb.conf 配置文件
ntlm_auth: 認證測試
修改 smb.conf 文件
在
[global]
中修改
workgroup = xx //這個就是 在登錄到windows 的時候【登錄對話框:輸用戶密碼的那個對話框】的那個 "登錄到" 字符串
security = domain
其餘可以保持不變
可以通過 testparam 查看 smb.conf 文件, 直接輸入 testparm
加入到域
(1) net rpc join -S sangfor-53de0cc.wuliang.com -U administrator%qwer1234 --port=445 -I 172.16.4.114
(2) 重啓一下 winbindd
-S 後面的爲:完整的計算機名稱 , 這個可以通過查看 “系統屬性”-》 計算機名 選項卡 (右擊 “我的電腦(計算機) / 屬性”)
-U 爲: 用戶名 % 密碼
--port 爲端口 445 , 這個也可以不要
-I 爲 AD域對應的 ip 地址
加入域成功後可以進行測試:
ntlm_auth --username=administrator --challenge=8f652405cb4c2545 --nt-response=7148fe0d1c18dd2dae091ea4f02473b1d13b37453f175ceb --request-nt-key
(知道 mschapv2 算法的人應該可以看懂上面語句的意思)
// 返回 NT_KEY
(NT_KEY 爲明文密碼的兩次 MD4)
或者 ntlm_auth --username=administrator --password=qwer1234
//返回 認證成功標識
如果加入域成功而認證失敗提示 沒有 登錄服務器
可能的原因:
DNS 解析 完整的計算機名稱 失敗
// winbindd 和 net 還會發送 137(UDP) 的廣播包 (NetBIOS 解析 計算機名稱來獲取IP, 在二層內可能會成功)
可以配置 DNS或者
修改 /etc/hosts 文件
# ip 網站的計算機名稱
這裏 認證主要是改動了 ntlm_auth 這個工具
samba 默認的實現方式爲:
ntlm_auth <---------Unix 域套接字--------->winbindd <-----------TCP(445)------------->AD 域機器