forum.opennet.ru - "Аутентификация FreeRadius" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Аутентификация FreeRadius"

Форум Информационная безопасность (Авторизация и аутентификация / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Аутентификация FreeRadius"	+/–
Сообщение от Anirey (ok) on 05-Мрт-14, 17:43
Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики паролей в организации. Так чтобы пароли были действительны в течении 90 дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы политики паролей в Active Directory windows. Возможно ли это внедрить на FreeRadius?
Ответить \| Правка \| Cообщить модератору

Оглавление

Аутентификация FreeRadius, tsolodov, 11:01 , 06-Мрт-14, (1)

Аутентификация FreeRadius, Андрей, 10:53 , 09-Мрт-14, (2)

Аутентификация FreeRadius, Anirey, 14:16 , 13-Мрт-14, (3)

Аутентификация FreeRadius, tsolodov, 15:15 , 13-Мрт-14, (4)

Аутентификация FreeRadius, tsolodov, 15:33 , 13-Мрт-14, (5)

Аутентификация FreeRadius, Mr. Mistoffelees, 12:46 , 03-Апр-14, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Аутентификация FreeRadius" +/–

Сообщение от tsolodov (ok) on 06-Мрт-14, 11:01

> Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на
> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
> паролей в организации. Так чтобы пароли были действительны в течении 90
> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
> политики паролей в Active Directory windows.
> Возможно ли это внедрить на FreeRadius?
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... не?
В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в статье ниже(не читал)
http://www.howtoforge.com/authentication-authorization-and-a...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Аутентификация FreeRadius" +/–

Сообщение от Андрей (??) on 09-Мрт-14, 10:53

>[оверквотинг удален]
>> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
>> паролей в организации. Так чтобы пароли были действительны в течении 90
>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>> политики паролей в Active Directory windows.
>> Возможно ли это внедрить на FreeRadius?
> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
> не?
> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
> статье ниже(не читал)
> http://www.howtoforge.com/authentication-authorization-and-a...
Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование passwd в freeradius. Но не получается. Может кто сталкивался?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Аутентификация FreeRadius" +/–

Сообщение от Anirey (ok) on 13-Мрт-14, 14:16

>[оверквотинг удален]
>>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>>> политики паролей в Active Directory windows.
>>> Возможно ли это внедрить на FreeRadius?
>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>> не?
>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>> статье ниже(не читал)
>> http://www.howtoforge.com/authentication-authorization-and-a...
> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
> passwd в freeradius. Но не получается. Может кто сталкивался?
Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить так, чтобы при входе по vty на Cisco выдавалось сообщение с просьбой сменить пароль. Может быть есть у кого-нибудь мысли?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Аутентификация FreeRadius" +/–

Сообщение от tsolodov (ok) on 13-Мрт-14, 15:15

>[оверквотинг удален]
>>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>>> не?
>>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>>> статье ниже(не читал)
>>> http://www.howtoforge.com/authentication-authorization-and-a...
>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>> passwd в freeradius. Но не получается. Может кто сталкивался?
> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
> так, чтобы при входе по vty на Cisco выдавалось сообщение с
> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
Я не могу проверить и протестиь сейчас, но путем гугления нашел:
http://lists.freeradius.org/pipermail/freeradius-users/2009-...
только вот как написать в терминале что пароль скоро проэкспарится я хз.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Аутентификация FreeRadius" +/–

Сообщение от tsolodov (ok) on 13-Мрт-14, 15:33

>[оверквотинг удален]
>>>> статье ниже(не читал)
>>>> http://www.howtoforge.com/authentication-authorization-and-a...
>>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>>> passwd в freeradius. Но не получается. Может кто сталкивался?
>> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
>> так, чтобы при входе по vty на Cisco выдавалось сообщение с
>> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
> Я не могу проверить и протестиь сейчас, но путем гугления нашел:
> http://lists.freeradius.org/pipermail/freeradius-users/2009-...
> только вот как написать в терминале что пароль скоро проэкспарится я хз.
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/confi...
Посмотрите в сторону Reply-Message атрибут, возможно оно сработает. Генерить этот этрибут можно подключив perl модуль например, в нем будет парсится файло и на основании этого анализироваться кол-во дней, которое осталось до смены пароля.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Аутентификация FreeRadius" +/–

Сообщение от Mr. Mistoffelees on 03-Апр-14, 12:46

Привет,
"Протухание", как выразился коллега выше, легче всего настроить на своем собственном модуле автентикации. Давно не работал с FreeRADIUS, во время оно все модули для него нужно было на С писать. Лично я пользуюсь очень стареньким XtRADIUS, который по сути есть Cistron с патчем, позволяющий передать автентикацию внешнему процессу, напр., Perl скрипту; если скрипт вернет 0, автентикация ОК, иначе фэйл; если скрипт хочет передать пары "аттрибут-значение", он их просто пишет на stdout.
Что касается замены пароля через RADIUS, этот функционал зависит от самого клиента; например, если клиент pppd, то замена пароля будет работать на MS-CHAP, но не будет работать на PAP и пр. Насчет кошки придется проверять на месте умеет ли она такое или нет.
WWell,

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Аутентификация FreeRadius"	+/–
Сообщение от tsolodov (ok) on 06-Мрт-14, 11:01
> Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на > Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики > паролей в организации. Так чтобы пароли были действительны в течении 90 > дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы > политики паролей в Active Directory windows. > Возможно ли это внедрить на FreeRadius? http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... не? В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в статье ниже(не читал) http://www.howtoforge.com/authentication-authorization-and-a...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Аутентификация FreeRadius"	+/–
	Сообщение от Андрей (??) on 09-Мрт-14, 10:53
	>[оверквотинг удален] >> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики >> паролей в организации. Так чтобы пароли были действительны в течении 90 >> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы >> политики паролей в Active Directory windows. >> Возможно ли это внедрить на FreeRadius? > http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... > не? > В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в > статье ниже(не читал) > http://www.howtoforge.com/authentication-authorization-and-a... Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование passwd в freeradius. Но не получается. Может кто сталкивался?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Аутентификация FreeRadius"	+/–
	Сообщение от Anirey (ok) on 13-Мрт-14, 14:16
	>[оверквотинг удален] >>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы >>> политики паролей в Active Directory windows. >>> Возможно ли это внедрить на FreeRadius? >> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... >> не? >> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в >> статье ниже(не читал) >> http://www.howtoforge.com/authentication-authorization-and-a... > Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование > passwd в freeradius. Но не получается. Может кто сталкивался? Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить так, чтобы при входе по vty на Cisco выдавалось сообщение с просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Аутентификация FreeRadius"	+/–
	Сообщение от tsolodov (ok) on 13-Мрт-14, 15:15
	>[оверквотинг удален] >>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... >>> не? >>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в >>> статье ниже(не читал) >>> http://www.howtoforge.com/authentication-authorization-and-a... >> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование >> passwd в freeradius. Но не получается. Может кто сталкивался? > Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить > так, чтобы при входе по vty на Cisco выдавалось сообщение с > просьбой сменить пароль. Может быть есть у кого-нибудь мысли? Я не могу проверить и протестиь сейчас, но путем гугления нашел: http://lists.freeradius.org/pipermail/freeradius-users/2009-... только вот как написать в терминале что пароль скоро проэкспарится я хз.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Аутентификация FreeRadius"	+/–
	Сообщение от tsolodov (ok) on 13-Мрт-14, 15:33
	>[оверквотинг удален] >>>> статье ниже(не читал) >>>> http://www.howtoforge.com/authentication-authorization-and-a... >>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование >>> passwd в freeradius. Но не получается. Может кто сталкивался? >> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить >> так, чтобы при входе по vty на Cisco выдавалось сообщение с >> просьбой сменить пароль. Может быть есть у кого-нибудь мысли? > Я не могу проверить и протестиь сейчас, но путем гугления нашел: > http://lists.freeradius.org/pipermail/freeradius-users/2009-... > только вот как написать в терминале что пароль скоро проэкспарится я хз. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/confi... Посмотрите в сторону Reply-Message атрибут, возможно оно сработает. Генерить этот этрибут можно подключив perl модуль например, в нем будет парсится файло и на основании этого анализироваться кол-во дней, которое осталось до смены пароля.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Аутентификация FreeRadius"	+/–
	Сообщение от Mr. Mistoffelees on 03-Апр-14, 12:46
	Привет, "Протухание", как выразился коллега выше, легче всего настроить на своем собственном модуле автентикации. Давно не работал с FreeRADIUS, во время оно все модули для него нужно было на С писать. Лично я пользуюсь очень стареньким XtRADIUS, который по сути есть Cistron с патчем, позволяющий передать автентикацию внешнему процессу, напр., Perl скрипту; если скрипт вернет 0, автентикация ОК, иначе фэйл; если скрипт хочет передать пары "аттрибут-значение", он их просто пишет на stdout. Что касается замены пароля через RADIUS, этот функционал зависит от самого клиента; например, если клиент pppd, то замена пароля будет работать на MS-CHAP, но не будет работать на PAP и пр. Насчет кошки придется проверять на месте умеет ли она такое или нет. WWell,
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору