Всем привет!В наследство от предыдущего системного администратора мне досталась связка OpenLDAP+FreeRADIUS (slapd+radiusd). Используется, в частности, для аутентификации пользователей VPN (MPD5).
Проблема в том, что для некоторых LDAP-пользователей (в основном - новых) аутентификация для VPN не работает и есть несколько признаков, что проблему создает FreeRADIUS или связка OpenLDAP+FreeRADIUS.
Для одного из таких пользователей я обнаружил, что он может или не может аутентифицироваться через radtest в зависимости от метода аутентификации (PAP или CHAP):
# radtest -t mschap atest qwerty7 127.0.0.1:1812 0 testing123
Sending Access-Request of id 236 to 127.0.0.1 port 1812
User-Name = "atest"
NAS-IP-Address = 10.10.10.10
NAS-Port = 0
MS-CHAP-Challenge = 0xb4e58ba4a910afba
MS-CHAP-Response = 0x000100000000000000000000000000000000000000000000000051162f3f96df8e7e42da05029a7c1a501d16a2ba0faae307
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=236, length=20
# radtest -t pap atest qwerty7 127.0.0.1:1812 0 testing123
Sending Access-Request of id 187 to 127.0.0.1 port 1812
User-Name = "atest"
User-Password = "qwerty7"
NAS-IP-Address = 10.10.10.10
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=187, length=20
При этом в логах OpenLDAP в нескольких вариантах логирования для PAP и CHAP все выглядит одинаково. Есть старые пользователи, для которых аутентифакация в radtest проходит нормально независимо от PAP и CHAP. Естественно, что по всем параметрам, которые я мог вообразить, постарался сделать пользователя atest максимально одинаковым с пользователями, у которых все работает.
Прошу подсказать, куда можно копать, чтобы atest мог нормально аутентифицироваться независимо от PAP и CHAP.
Заранее спасибо тем, кто ответит.
Вариант для распечатки
