Autentizace: Mikrotik + freeradius + AD

Autentizace: Mikrotik + freeradius + AD
« kdy: 11. 11. 2014, 16:58:20 »
Ahoj,

potreboval bych poradit, jestli nekdo mate v praxi rozchozenou autentizaci pro Mikrotik wifi AP s WPA2 enterprise proti AD. Predem se omlouvam, ze jsem si teorii kolem toho nestihl poradne prostudovat a hrat si v laboratornich podminkach, takze mozna v necem budu mlit nesmysly... Potrebuju to bohuzel rozchodit co nejrychleji (znate to - pane Prymek, uz pred pul rokem bylo pozde...)

Zatim se mi podarilo rozchodit na Mikrotiku radius passthrough na freeradius, MSCHAP s normalnim heslem uzivatele z AD funguje, heslo se overuje, klient se pripoji. Ale mam s tim mentalni problem, ze pokud jsem to dobre pochopil, v ramci MSCHAP server nikdy nedostane do ruky heslo. Takze zustava jenom moznost autentizace pres utilitku ntlm_auth za pouziti winbindu, coz mi vadi, protoze:

1. pokud se nemylim, ntlm_auth je k dispozici jenom pro sambu 4, takze mi to zavira moznost v pripade potreby downgradovat na sambu 3

2. nemuzu pouzit autentizaci proti ADckovemu LDAPu, coz je skoda

3. celkove mi to prijde jako strasne zabetonovany reseni, se kterym nepujde v pripade potreby hnout (protoze klienti budou uz mit nastavene MSCHAP a zas je vsechny prenastavovat by byl znacnej opruz)

Takze jsem ted trochu tapal po jinem reseni a nic se mi nepodarilo najit, respektive jsem se v te dzungli nejak ztratil :(

Pozadavky by byly asi takovyhle:

1. autentizace funkcni pro Windows od Vist vys pokud mozno bez nutnosti cokoli doinstalovavat. Pro XP bych klidne i neco doinstaloval, tech je jenom par.
2. autentizace loginem a heslem. NE klientske certifikaty - klientu je moc a pro kazdeho vydavat certifikat by bylo nerealizovatelny. Serverovy certifikat nevadi.
3. autentizace proti freeradiusu (neni to naprosta nutnost, ale byl bych hodne rad, kdybych mohl bohatych moznosti  freeradiusu vyuzit)
4. pokud mozno takovy typ autentizace, aby server videl heslo v otevrenem tvaru, aby pak moznosti, co s nim provest, byly trochu vetsi (napr. ta zminena autentizace bindnutim na AD LDAP)

V nejhorsim pripade by samozrejme slo pouzit primo radius co je k dispozici v ramci AD, ale touhle cestou bych sel nerad.

Pokud nekdo mate tohle v praxi odladene a dobre prozkousene, mohli byste pls poradit, jakou cestou se vydat? Idealni by samozrejme bylo, kdyby byl nekdo ochotny se podelit primo o ty patricny pasaze konfiguraku...

Predem diky za jakykoliv rady a nakopnuti, jsem jedno ucho! :)


anonym

Re:Autentizace: Mikrotik + freeradius + AD
« Odpověď #1 kdy: 11. 11. 2014, 19:06:57 »
mam nasazeno reseni prave s tim MSCHAP, tedy kdy RADIUS nevidi vlastni heslo

ntlm_auth je normalne v samba3 (dokonce ji pouzivam na svojem RADIUS serveru, proti samba4 AD serveru)

ADckovy LDAP je taky vybiravy s tim jak se jde overit, ale ve chvili kdy RADIUS ma ciste heslo tak to neni problem.
co ale nedokazes je udelat nejaky ciphertext system uvnitr RADIUSu, protoze AD neuklada cleartext heslo, a i kdyby ho mel tak ho nevyda (nevyda ani ten NT hash, pokud ho nebudes opravdu hodne presvedcovat).

pokud pozadujes aby tvuj RADIUS mel k dispozici heslo tak chces PAP, pokud mozno uvnitr neceho sifrovaneho (TTLS nebo PEAP), at to neni tak derave. zrovna kombinaci TTLS+PAP sem zazil (jako klient, na dratovem 802.1x), a wokna na to potrebovaly securew2. nekdo rikal ze win8 uz maji TTLS klienta v sobe, ale overit nemohu. PEAP+PAP by mohly umet i starsi, ale ted to nevyzkousim

toho MSCHAP bych se az tak nebal. udelal sem upgrade z samba3 domeny (kde RADIUS tahal NT hash z LDAPu a sam delal MSCHAP handshake) na samba4/AD (kdy RADIUS predava overeni pres ntlm_auth), aniz bych musel sahnout na jediny klientsky zarizeni.
dokud budes delat overeni pro windows tak mas nekde ulozene bud ciste heslo nebo NT hash, a z obojiho ti freeradius umi udelat MSCHAP overovani (pokud bys nechtel primo ntlm_auth)

Re:Autentizace: Mikrotik + freeradius + AD
« Odpověď #2 kdy: 12. 11. 2014, 08:18:17 »
Mame to spravene presne tak ako si napisal ze by si rad nesiel, radius na AD a mikrotiky jak AP, dojde mi to jak najschudnejsie resenie pre MS uzivatelov v AD.
Ale tiez ma zaujima ako by sa to dalo este resit. ( Autentizace: Mikrotik + freeradius + AD )

M.

Re:Autentizace: Mikrotik + freeradius + AD
« Odpověď #3 kdy: 12. 11. 2014, 10:12:18 »
Provozuji hromadu mikrotik APček pro wifi, podobnou hromadu HP switchu pro 802.1x, 2x StrongSwan pro IPsec IKE2 nebo L2TP/IPsec VPNka, a to vše jedoucí proti FreeRADIUS2 serveru, který si to ověřuje v Samba4.1 AD.

Jak zmíněno, ntlm_auth je historický a je i v Samba3. Dokonce ntlm_auth ze Samba4 má chybu, že nefunguje ověření  s omezením na členstvíé ve skupině (takže když sedí jméno/heslo, dá OK bez ohledu na to, zda jméno je/není členem požadované skupiny), možná je to už i opraveno.

Ano, při CHAP/MSCHAP1/MSCHAP2 nedostane radius server heslo od klienta v clear textu a je to obvykle jen dobře.

Pokud má jít jako clear text, tak se musí použít PAP, ale to znamená, že jde heslo i clear textem po wifině, což je nežádoucí. Tunelovní s EAP-TTLS typu PAP v TLS je řešení, ale je velký problém, že to moc věcí neumí. Odpadne ti hromada klientů. S Win8 nevím, nemáme, ale pro Win XP až Win 7 to závisí na síťovce/výrobci netoebooků, někde to jde, někde to nejde.
Takže zatím nejuniverzálnější jistota je použití PEAPv0, což je fakticky TLS tunel uvnitř kterého je nesen MSCHAPv2. PEAPv0 je i bez problému, pokud chci použít případně k ověření na základě systémového účtu počítače nebo automaticky dle přihlášeného uživatele k počítači.
Na klienty musím jen dorvat certifikát CA, kterým je podepsán certifikát Raius serveru.

Re:Autentizace: Mikrotik + freeradius + AD
« Odpověď #4 kdy: 12. 11. 2014, 18:16:24 »
Díky, kluci, za reakce. Když to teda shrnu, asi nemá smysl nic vymýšlet a nejlepší bude nasadit ten MSCHAP.

Jestli je ntlm_auth i v sambě 3, tak to je super, to mi nějak uniklo. Pořád mě teda trochu nesedí nutnost mít v provozu winbind (tomu jsem se vyhnul pomocí nslcd a rfc2307), ale tak z toho se neumírá :)

Ještě jednou dík.