FreeRadius : PAM和EAP/PEAP
提问于 2022-01-18 07:59:58
我设置了一个FreeRadius服务器,通过PAM对用户进行身份验证(SSSD身份验证+ MFA通过Google )。
它工作得很好,但是当我在防火墙上配置它时,我收到了这样的消息:
当从'ip来自域控制器‘对用户xxx进行身份验证时,使用了一种不太安全的身份验证方法PAP。请迁移到PEAP或EAP-TTLS。
我不明白这条消息到底是什么意思。如何保护我的FW/SSH控制台和radius服务器之间以及radius服务器和域控制器之间的信息?
我还能在PEAP/EAP-TTLS中使用PAM吗?它只是一种保护网络事务的手段,还是一种身份验证模型?
谢谢你的帮助。
回答 1
Stack Overflow用户
发布于 2022-07-03 00:54:17
pam_radius插件总是使用pap,而带有pam的radius客户端不存在于PEAP/EAP/EAP。PAP不太安全,因为它以纯文本显示密码。出于安全考虑,您可以拥有可能需要外部硬件的VPN,也可以在PAM -radius客户端拥有一个TLS代理,如stunnel或nginx,并使用TLS保护radius数据包。我将选择第二个选项,因为它是免费的,并且可以将freeradius服务器配置为使用radsec连接,但当然,您现在将管理证书。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70758671
复制
腾讯云开发者
