Los clientes radiusd

PEAP

Efectúa la validación contra un dominio o Active Directory, en nuestro caso el que hemos establecido con Samba.

Primero tenemos que asegurarnos que la validación ntlm_auth funciona:

ntlm_auth --request-nt-key –domain=BEZ.IES --username=usuariosamba –password=contraseña

Después comprobamos con radiusd ejecutando:

radtest -t mschap Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.  contraseña localhost  1 radiusd123

Si la respuesta no es correcta posibles puntos a tener en cuenta:

Comprobar la salida de radiusd -X

Mirar lo logs de Samba.

Están en ejecución todos los servicios necesarios.

Los permisos de la carpeta de winbind son:

drwxr-x--- 2 root radiusd   4096 abr 14 19:05 /var/lib/samba/winbindd_privileged

Comprobar:

getent passwd

 y tenemos que comprobar que aparecen los usuarios almacenados en LDAP

TLS

Efectúa la validación con certificados digitales. Tendremos que tener instalados la llave pública de nuestra autoridad certificadora, el fichero cacert.pem  y nuestro certificado emitido por la autoridad certificadora. Normalmente usaremos el fichero .p12. En ciertos clientes puede que tengamos que cambiar el formato del fichero de la autoridad certificadora.

LDAP

Efectúa la validación frente a un servidor LDAP, en nuestro caso el que hemos establecido.

Para comprobar que funciona ejecutamos:

radtest usuariosamba  contraseña localhost  1 radiusd123

Observamos que es el mismo usuario, pero ahora lo consultamos directamente al servidor LDAP. Con PEAP hacemos la consulta a través de Samba.