The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Аутентификация FreeRadius"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Авторизация и аутентификация / Linux)
Изначальное сообщение [ Отслеживать ]

"Аутентификация FreeRadius"  +/
Сообщение от Anirey email(ok) on 05-Мрт-14, 17:43 
Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики паролей в организации. Так чтобы пароли были действительны в течении 90 дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы политики паролей в Active Directory windows.
Возможно ли это внедрить на FreeRadius?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Аутентификация FreeRadius"  +/
Сообщение от tsolodov email(ok) on 06-Мрт-14, 11:01 
> Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на
> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
> паролей в организации. Так чтобы пароли были действительны в течении 90
> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
> политики паролей в Active Directory windows.
> Возможно ли это внедрить на FreeRadius?

http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... не?

В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в статье ниже(не читал)
http://www.howtoforge.com/authentication-authorization-and-a...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Аутентификация FreeRadius"  +/
Сообщение от Андрей (??) on 09-Мрт-14, 10:53 
>[оверквотинг удален]
>> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
>> паролей в организации. Так чтобы пароли были действительны в течении 90
>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>> политики паролей в Active Directory windows.
>> Возможно ли это внедрить на FreeRadius?
> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
> не?
> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
> статье ниже(не читал)
> http://www.howtoforge.com/authentication-authorization-and-a...

Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование passwd в freeradius. Но не получается. Может кто сталкивался?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Аутентификация FreeRadius"  +/
Сообщение от Anirey email(ok) on 13-Мрт-14, 14:16 
>[оверквотинг удален]
>>> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
>>> политики паролей в Active Directory windows.
>>> Возможно ли это внедрить на FreeRadius?
>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>> не?
>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>> статье ниже(не читал)
>> http://www.howtoforge.com/authentication-authorization-and-a...
> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
> passwd в freeradius. Но не получается. Может кто сталкивался?

Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить так, чтобы при входе по vty на Cisco выдавалось сообщение с просьбой сменить пароль. Может быть есть у кого-нибудь мысли?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Аутентификация FreeRadius"  +/
Сообщение от tsolodov email(ok) on 13-Мрт-14, 15:15 
>[оверквотинг удален]
>>> http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory...
>>> не?
>>> В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в
>>> статье ниже(не читал)
>>> http://www.howtoforge.com/authentication-authorization-and-a...
>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>> passwd в freeradius. Но не получается. Может кто сталкивался?
> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
> так, чтобы при входе по vty на Cisco выдавалось сообщение с
> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?

Я не могу проверить и протестиь сейчас, но путем гугления нашел:
http://lists.freeradius.org/pipermail/freeradius-users/2009-...

только вот как написать в терминале что пароль скоро проэкспарится я хз.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Аутентификация FreeRadius"  +/
Сообщение от tsolodov email(ok) on 13-Мрт-14, 15:33 
>[оверквотинг удален]
>>>> статье ниже(не читал)
>>>> http://www.howtoforge.com/authentication-authorization-and-a...
>>> Не, использовать AD или mysql не очень хочется. Я пытаюсь прикрутить использование
>>> passwd в freeradius. Но не получается. Может кто сталкивался?
>> Удалось прикрутить аутентификацию по файлу shadow. Но не могу понять как настроить
>> так, чтобы при входе по vty на Cisco выдавалось сообщение с
>> просьбой сменить пароль. Может быть есть у кого-нибудь мысли?
> Я не могу проверить и протестиь сейчас, но путем гугления нашел:
> http://lists.freeradius.org/pipermail/freeradius-users/2009-...
> только вот как написать в терминале что пароль скоро проэкспарится я хз.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/confi...

Посмотрите в сторону Reply-Message атрибут, возможно оно сработает. Генерить этот этрибут можно подключив perl модуль например, в нем будет парсится файло и на основании этого анализироваться кол-во дней, которое осталось до смены пароля.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Аутентификация FreeRadius"  +/
Сообщение от Mr. Mistoffelees on 03-Апр-14, 12:46 
Привет,

"Протухание", как выразился коллега выше, легче всего настроить на своем собственном модуле автентикации. Давно не работал с FreeRADIUS, во время оно все модули для него нужно было на С писать. Лично я пользуюсь очень стареньким XtRADIUS, который по сути есть Cistron с патчем, позволяющий передать автентикацию внешнему процессу, напр., Perl скрипту; если скрипт вернет 0, автентикация ОК, иначе фэйл; если скрипт хочет передать пары "аттрибут-значение", он их просто пишет на stdout.

Что касается замены пароля через RADIUS, этот функционал зависит от самого клиента; например, если клиент pppd, то замена пароля будет работать на MS-CHAP, но не будет работать на PAP и пр. Насчет кошки придется проверять на месте умеет ли она такое или нет.  

WWell,

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру