尝试针对不同领域/窗口域设置VPN身份验证。我使用的是OpenVPN访问服务器,它指导所有身份验证请求(用户名以user@domain)到FreeRADIUS服务器(3.0.15),并具有所需的proxy.conf和reals-config,以便将访问请求转发(代理)到家庭服务器。OpenVPN配置为使用MS-CHAPv2。家庭服务器也是一个免费RADIUS,相同的版本。家庭服务器是windows域(samba 4.6)的成员,其clients.conf文件包括proxyRADIUS服务器作为"NAS"等。家庭服务器上没有问题,当涉及到samba/winbind检查等时。事实上,如果我使用username=sAMAccountName直接从OpenVPN向它发送请求(无需代理),则通过LDAP进行身份验证和组成员身份检查会按预期工作。但是,如果请求被代理,则家庭服务器中的mschap模块会报告:(0)mschap:错误:程序返回代码(1)并输出"登录失败(0xc000006d)"(0)mschap:外部脚本失败(0)mschap:错误:外部脚本显示:登录失败(0xc000006d)(0)mschap:错误:MS-CHAP2-响应是不正确的
(在调试模式下从radiusd输出)
作为一种测试方式,代理请求没有问题。我在域控制器上启用了NPS,并开始代理请求,身份验证也没有问题。因此,无论出于何种原因,当家庭服务器尝试对代理请求进行身份验证时,NT响应(或至少由mschap模块管理)似乎不正确。我知道旧版本的samba中有一个关于NT响应的错误,但我不认为这是问题所在,我认为它在几年前就被修复了。有人遇到过类似的问题吗?谢谢PS:代理和家庭RADIUS在BSD 10.3 中运行
修复了此问题。Realm定义在proxyRADIUS中带有"nostrip",因此用户剥离发送到家庭服务器包括user@domain.在主服务器"proxy.conf"文件中,定义领域,但不包含服务器池,因此该领域被视为LOCAL,但质询仅使用用户名(不包含@domain)创建。就是