Вкратце,
- Вам нужно указать формат хэша пароля вместо
Открытый текст-пароль, и
- Вам нужно установить
auth_goodpass и auth_badpass на «нет», чтобы предотвратить регистрацию паролей.
Указание формата хэша
Как описано в справочная страница rlm_pap, существует ряд настроек хэша пароля, которые можно использовать вместо Открытый текст-пароль. Возьмем простой пример, MD5-пароль:
#bob Пароль открытого текста := "hello"
Боб MD5-Пароль: = "7d793037a0760186574b0282f2f435e7"
Ответное сообщение: = "Здравствуйте, %{Имя пользователя}"
Вы можете легко сгенерировать хэш пароля md5, например:
$ эхо -n мир | md5sum | awk '{напечатать $1}'
7d793037a0760186574b0282f2f435e7
$
Когда мы тестируем это на нашем сервере, мы видим, что он аутентифицируется:
$ radtest bob world localhost 1 тестирование123
Отправлено идентификатор запроса доступа 214 от 0.0.0.0:34920 до 127.0.0.1:1812 длина 73
Имя пользователя = "боб"
Пароль пользователя = "мир"
NAS-IP-адрес = 127.0.1.1
NAS-порт = 1
Аутентификатор сообщения = 0x00
Открытый текст-пароль = "мир"
Полученный идентификатор доступа 214 от 127.0.0.1:1812 до 127.0.0.1:34920 длина 32
Ответное сообщение = "Привет, Боб"
Вы также можете указать свой хэш с помощью универсального Пароль-с-заголовком вариант:
#bob Пароль открытого текста := "hello"
Боб Пароль-с-заголовком := "{md5}7d793037a0760186574b0282f2f435e7"
Ответное сообщение: = "Здравствуйте, %{Имя пользователя}"
Это имеет тот же эффект, что и MD5-пароль версия сделала. Список принятых заголовков находится на этом rlm_pap справочная страница.
Один из самых интересных доступных заголовков Склеп-Пароль потому что он будет запускать хэши паролей через libcrypt и, следовательно, будет работать с любыми хэшами, которые вы найдете в /и т.д./тень. Например, в системе Debian хэши yescrypt:
bob Crypt-Password := "$y$j9T$2fOq6bdva3zoX6OfH.JvY0$PbUGbp1U.UXFAnGrkDrYnLZEDK.PXO/HXDsBn4mCsM8"
Ответное сообщение: = "Здравствуйте, %{Имя пользователя}"
(пароль в данном случае а38сгена)
Отключение регистрации паролей
Чтобы отключить регистрацию паролей, найдите auth_goodpass и auth_badpass отбор в рамках radiusd.conf файл:
# Регистрировать пароли с запросами аутентификации.
# auth_badpass - регистрирует пароль, если он отклонен
# auth_goodpass - регистрирует пароль, если он правильный
#
# допустимые значения: {нет, да}
#
auth_badpass = нет
auth_goodpass = нет
Убедитесь, что для них установлено значение «нет», и ваш журнал перестанет включать пароли.
