URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54986
[ Назад ]

Исходное сообщение
"pppd-2.4.3 + radius.so - несоответствие регистра пользователя"
Отправлено tian , 30-Мрт-05 09:35

Ситуация - установил pppd-2.4.3 + radius.so
Однако авторизация зависит от регистра, в котором набрано имя пользователя.
В прошлой версии pppd-2.4.1 я подрихтовал исходник, чтобы такого не было.
Т.е. имя пользователя при генерации хеша переводилось в нижний регистр.
А как быть тут ?
Рыскал исходники pppd-2.4.3 - не нашел точки входа.
Понятно, что тут копать нужно именно в исходниках pppd, а не настройках radius.
Кто-нить сталкивался с этим ?
подскажите плиз.

Содержание

pppd-2.4.3 + radius.so - несоответствие регистра пользовател...,Z0termaNN, 11:42 , 30-Мрт-05
- pppd-2.4.3 + radius.so - несоответствие регистра пользовател...,tian, 14:16 , 30-Мрт-05
  - pppd-2.4.3 + radius.so - несоответствие регистра пользовател...,tian, 10:14 , 31-Мрт-05
    - pppd-2.4.3 + radius.so - несоответствие регистра пользовател...,Z0termaNN, 11:07 , 31-Мрт-05
      - pppd-2.4.3 + radius.so - несоответствие регистра пользовател...,tian, 13:55 , 31-Мрт-05

Сообщения в этом обсуждении

"pppd-2.4.3 + radius.so - несоответствие регистра пользовател..."
Отправлено Z0termaNN , 30-Мрт-05 11:42

ну так задай перевод скажем в нижний регистр
на radius сервере

"pppd-2.4.3 + radius.so - несоответствие регистра пользовател..."
Отправлено tian , 30-Мрт-05 14:16

>ну так задай перевод скажем в нижний регистр
>на radius сервере
Так не получится, да и не получалось.. pppd формирует хеш (имя пользователя в верхнем регистре), посылает хеш радиус-серверу, а там имя пользователя в нижнем регистре прописано. Он далее на основе переданного ему имени (верхнего регистра) ищет в базе - не находит имя (разные регистры), далее согласно директивы lower_username = after, изменяет переданное имя в нижний регистр, находит в базе имя и пароль, (в нижнем регистре), формирует хеш (на основе нижнего регистра), и тут сравнение двух резуоттатов отрицательно, так как хеши разные, так как собраны на основе имени разных регистров.
Я верно понимаю ситуацию ?
А насчет lower_username - я пробовал - не получается. да и потом хотелось бы вообще не учитывать регистр в имени пользователя.

"pppd-2.4.3 + radius.so - несоответствие регистра пользовател..."
Отправлено tian , 31-Мрт-05 10:14

Я еще раз просмотрел файлы:
скорее всего траблы в rlm_mschap модуле freeradius.
Более того заметил, что даже если в базе freeradius прописать имя пользователя в большом регистре - то тогда в любом случае авторизация не проходит.
Неужели никто не сталкивался с этим, используя freeradius-1.0.2 ?
Или я что-то не учел и забыл ?

"pppd-2.4.3 + radius.so - несоответствие регистра пользовател..."
Отправлено Z0termaNN , 31-Мрт-05 11:07

>Я еще раз просмотрел файлы:
>скорее всего траблы в rlm_mschap модуле freeradius.
>Более того заметил, что даже если в базе freeradius прописать имя пользователя
>в большом регистре - то тогда в любом случае авторизация не
>проходит.
>Неужели никто не сталкивался с этим, используя freeradius-1.0.2 ?
>Или я что-то не учел и забыл ?
для ms-chap есть такая фигня.
точно не помню, но по моему обходится авторизацией через ntlm

"pppd-2.4.3 + radius.so - несоответствие регистра пользовател..."
Отправлено tian , 31-Мрт-05 13:55

Вообщем, плотнее разобрался и выяснил:
chap v1 - там все функции зависят только от пароля.
chap v2 - там зависимость и от пароля, и от имени.
И посему в приципе трудно сделать на версии 2 чтобы от регистра не зависело.
А в прошлый раз я юзал pppd 2.4.1 - там просто не было внедрено 2 версии и поэтому работало. А сейчас перешел на 2.4.3
Вылечил как оказалось просто - запретил ms-chapv2 на установку соединений.
А пришлось однако изучить rfc2579 - хотя это полезно...
ну и еще все имена малым регистром в конфигах забиты и lower_user = before
И все поехало..