RADIUSサーバーでのマシンアカウント認証
私のワークステーションはLinuxの下にあります。 Windows2008にActiveDirectoryドメインコントローラーとRadiusサーバーがあります。「radtest」ツールを使用してユーザーアカウント「radius-01」を確認できます。
$ radtest -t pap radius-01 password123 195.234.133.32 1812 password123
Sending Access-Request of id 98 to 195.234.73.2 port 1812
User-Name = "radius-01"
User-Password = "password123"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
rad_recv: Access-Accept packet from Host 195.234.133.32 port 1812, id=98, length=84
Framed-MTU = 1344
Framed-Protocol = PPP
Service-Type = Framed-User
Class = 0x537004f00000013700010200ac1c0...
Sambaを使用してLinuxPCをActiveDirectoryドメインARB-HRKに参加させました。
[root@shev-arb]# net ads testjoin
Join is OK
マシンのパスワードをダンプできます:
[root@shev-arb]# tdbdump /var/lib/samba/private/secrets.tdb
{
key(34) = "SECRETS/MACHINE_PASSWORD/ARB-HRK"
data(15) = "yGgXJsquRnpT0g\00"
}
RADIUSサーバーで自分のマシンアカウントを認証するにはどうすればよいですか?
誰かがこのためのツールを知っていますか?
radtest shev-arb$ yGgXJsquRnpT0g 195.234.133.32 1812 password123
(このコマンドは失敗します)
Windowsドメインでは、IKEV1 PAPの場合など、認証方法としてMicrosoft_AUTHENTICATION_PACKAGE_V1_0を使用するレガシーシステムでは、マシンシークレットを使用したマシン認証がデフォルトで無効になっています。このような場合、NPSでエラー0xc0000199(NO_LOGON_WORKSTATION_TRUST_ACCOUNT)でDPC認証が失敗することがあります。
特定のコンピューターアカウントのマシン認証を有効にします。以下をせよ:
- UserAccountControl属性を編集して、WORKSTATION_TRUST_ACCOUNTを削除し、NORMAL_ACCOUNTを値に追加する必要があります。
- UserAccountControlの既存の値がxの場合、計算は値を(x-4096 + 512)に更新して、マシン認証を機能させます。
このKB記事に記載されている指示に従ってください: http://support.Microsoft.com/kb/305144 または:
- ドメインコントローラーでadsiedit.mscを実行します
- ツリーを展開し、コンピュータリーフを選択すると、CN = Hostnameとして表示されます。
- 右クリックして[プロパティ]を選択します
- プロパティウィンドウで、userAccountControl属性を選択します。ダブルクリックして編集します。
- 既存の値から3584を差し引いて、数値を更新します。
- [OK]を押して編集を閉じ、[OK]を押してプロパティダイアログを閉じます。
テストが完了したら、通常の設定に戻します。
radtest -t mschap'Host/shev-arb.arb-hrk.net 'yGgXJsquRnpT0g 195.234.133.32 1812 password123 Sending Access-Request of id 139 to 195.234.133.32 port 1812 ... rad_recv:ホスト195.234.133.32ポート1812、id = 139、長さ= 142 ... [.____からのアクセス受け入れパケット。]