Los clientes radiusd
PEAP
Efectúa la validación contra un dominio o Active Directory, en nuestro caso el que hemos establecido con Samba.
Primero tenemos que asegurarnos que la validación ntlm_auth funciona:
ntlm_auth --request-nt-key –domain=BEZ.IES --username=usuariosamba –password=contraseña
Después comprobamos con radiusd ejecutando:
radtest -t mschapEsta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. contraseña localhost 1 radiusd123
Si la respuesta no es correcta posibles puntos a tener en cuenta:
Comprobar la salida de radiusd -X
Mirar lo logs de Samba.
Están en ejecución todos los servicios necesarios.
Los permisos de la carpeta de winbind son:
drwxr-x--- 2 root radiusd 4096 abr 14 19:05 /var/lib/samba/winbindd_privileged
Comprobar:
getent passwd
y tenemos que comprobar que aparecen los usuarios almacenados en LDAP
TLS
Efectúa la validación con certificados digitales. Tendremos que tener instalados la llave pública de nuestra autoridad certificadora, el fichero cacert.pem y nuestro certificado emitido por la autoridad certificadora. Normalmente usaremos el fichero .p12. En ciertos clientes puede que tengamos que cambiar el formato del fichero de la autoridad certificadora.
LDAP
Efectúa la validación frente a un servidor LDAP, en nuestro caso el que hemos establecido.
Para comprobar que funciona ejecutamos:
radtest usuariosamba contraseña localhost 1 radiusd123
Observamos que es el mismo usuario, pero ahora lo consultamos directamente al servidor LDAP. Con PEAP hacemos la consulta a través de Samba.