Freeradius和googleldap

Freeradius和googleldap,ldap,freeradius,Ldap,Freeradius,我已经根据中提供的说明在Ubuntu服务器上配置了Freeradius 从Ubuntu服务器本身,我已经能够使用“radtest”验证我的Google帐户。但是,当我尝试从一个我注册为Freeradius服务器客户端(在clients.conf中)的AP进行身份验证时,我无法获得身份验证。这与CA证书有关吗 是否有任何手册或指南,我可以使用谷歌LDAP配置Freeradius?谢谢。您收到任何错误消息了吗?这将给出一些问题的指示。ID或密码不正确,或者搜索或ACL访问有问题。您收到任何错误消息了

我已经根据中提供的说明在Ubuntu服务器上配置了Freeradius

从Ubuntu服务器本身,我已经能够使用“radtest”验证我的Google帐户。但是,当我尝试从一个我注册为Freeradius服务器客户端(在clients.conf中)的AP进行身份验证时,我无法获得身份验证。这与CA证书有关吗


是否有任何手册或指南,我可以使用谷歌LDAP配置Freeradius?谢谢。

您收到任何错误消息了吗?这将给出一些问题的指示。ID或密码不正确,或者搜索或ACL访问有问题。

您收到任何错误消息了吗?这将给出一些问题的指示。错误的ID或密码或搜索或ACL访问的内容。

radtest
之所以有效,是因为它向RADIUS服务器发送明文密码,然后RADIUS服务器可以将其呈现给Google LDAP以尝试绑定。Google LDAP不允许您获取密码副本,因此您在可以使用哪些方法进行身份验证方面受到很大限制

对于无线,您需要使用EAP方法,该方法以明文形式向RADIUS服务器显示密码,最有可能是EAP-TTLS/PAP。常见的EAP方法(如PEAP/EAP-MSCHAPv2或EAP-TTLS/MSCHAPv2)不起作用,因为RADIUS服务器没有密码副本可供尝试和绑定


您还需要确保在
内部隧道
虚拟服务器中执行LDAP身份验证阶段,而不是在外部(来自EAP-TTLS/PAP的密码仅在从TLS隧道解密后在内部虚拟服务器中可用)。你在哪里做这件事的问题并不清楚。如果您在
默认值
虚拟服务器中配置了LDAP,则普通
radtest
将起作用,但没有EAP方法起作用。

radtest
可以起作用,因为它向RADIUS服务器发送明文密码,然后RADIUS服务器可以将其呈现给Google LDAP以尝试绑定。Google LDAP不允许您获取密码副本,因此您在可以使用哪些方法进行身份验证方面受到很大限制

对于无线,您需要使用EAP方法,该方法以明文形式向RADIUS服务器显示密码,最有可能是EAP-TTLS/PAP。常见的EAP方法(如PEAP/EAP-MSCHAPv2或EAP-TTLS/MSCHAPv2)不起作用,因为RADIUS服务器没有密码副本可供尝试和绑定


您还需要确保在
内部隧道
虚拟服务器中执行LDAP身份验证阶段,而不是在外部(来自EAP-TTLS/PAP的密码仅在从TLS隧道解密后在内部虚拟服务器中可用)。你在哪里做这件事的问题并不清楚。如果您在
default
虚拟服务器中配置了LDAP,则普通
radtest
可以工作,但没有EAP方法可以工作。

与@matthew newton在这里所说的相反,让EAP方法工作是可能的

一旦你有了一个针对谷歌服务的正常运行的
radtest
,通过读取实际连接请求的调试输出(
#freeradius-X
)来仔细检查请求者发送的方法。您将看到,在Google的初始响应之后,没有配置eap_peap/MSCHAPv2密码


如果你走到了这一步,那么就把在中演示的内容付诸实践。如果查看
/configs
,您会发现站点和mod文件(
默认值
ldap
eap
,和
内部隧道
)已经配置为与Google ldap一起使用。我不建议把它们放进去。你应该边走边读,只在必要时修改你自己的配置。

与@matthew newton在这里所说的相反,让EAP方法工作是可能的

一旦你有了一个针对谷歌服务的正常运行的
radtest
,通过读取实际连接请求的调试输出(
#freeradius-X
)来仔细检查请求者发送的方法。您将看到,在Google的初始响应之后,没有配置eap_peap/MSCHAPv2密码

如果你走到了这一步,那么就把在中演示的内容付诸实践。如果查看
/configs
,您会发现站点和mod文件(
默认值
ldap
eap
,和
内部隧道
)已经配置为与Google ldap一起使用。我不建议把它们放进去。你应该边读边修改你自己的配置