Я хотел бы использовать Kerberos с FreeRADIUS, но я не хочу, чтобы FreeRADIUS имел доступ к каким-либо паролям (хешированным или другим), особенно потому, что такие пароли могут не существовать, если используется аутентификация с помощью смарт-карты. Я бы предпочел, чтобы FreeRADIUS имел доступ только к билетам Kerberos. Как я могу это сделать?
1 ответ
4
Нет, к сожалению нет. Это не является ограничением в FreeRADIUS, поскольку нет метода EAP, который изначально поддерживает Kerberos. Единственный способ выполнить вход в Kerberos с помощью RADIUS - это использовать метод EAP, который предоставляет учетные данные в открытом виде, а затем использовать их для расшифровки TGT на сервере RADIUS.
Я оплакивал этот факт в течение последних 10 лет, так как единый вход между сетевым уровнем и приложениями был бы потрясающим. К сожалению, в отрасли, по-видимому, так много инерции, что мы вряд ли когда-либо получим такой метод EAP, тем более что мы преодолели пик Kerberos.