mschapv2在Radius中的认证实现

最新推荐文章于 2024-03-19 14:56:29 发布
最新推荐文章于 2024-03-19 14:56:29 发布
阅读量1.2k 收藏
点赞数
文章标签: golang php python
原文链接:https://my.oschina.net/jamiesun/blog/649629
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

mschapv2在Radius中的认证实现

在Radius的认证请求AccessRequest包中如果包含 MS-CHAP2-Response 和 MS-CHAP-Challenge 属性则意味着需要实现ms-chap-v2认证。

客户端 MS-CHAP2-Response 和 MS-CHAP-Challenge 生成的规则

MS-CHAP-Challenge

MS-CHAP-Challenge (即AuthChallenge) 是客户端生成的随机16字节。

MS-CHAP2-Response

随机生成16字节属性 PeerChallenge,连同AuthChallenge,UserName,Password作为输入参数,调用方法 GenerateNTResponse 得到 NtResponse.

GenerateNTResponse(AuthChallenge, PeerChallenge, UserName, Password)

GenerateNTResponse 方法的实现参考 [http://tools.ietf.org/html/rfc2759.html#section-8.1][1]

封装50字节的 MS-CHAP2-Response 属性:

[0 : 2]           Flags  \x00\x00
[2 : 18]          PeerChallenge 
[18 : 26]         Reserved \x00\x00\x00\x00\x00\x00\x00\x00
[26 : 50]         NtResponse

服务端认证规则

校验 MS-CHAP2-Response 长度,长度不等于50应该丢弃,并发送拒绝认证。

从 MS-CHAP2-Response 提取 PeerChallenge,NtResponse

NtResponse = MS-CHAP2-Response[26 : 50]
PeerChallenge = MS-CHAP2-Response[2 : 18]

调用 GenerateNTResponse 方法得到 MyNtResponse

GenerateNTResponse(AuthChallenge, PeerChallenge, UserName, Password)

比较 MyNtResponse 与 NtResponse,不相等则验证失败。

Radius 认证响应

调用 GenerateAuthenticatorResponse 方法得到 AuthenticatorResponse

GenerateAuthenticatorResponse(
	Password,
	NtResponse,
	PeerChallenge, 
	AuthChallenge
	UserName
)

GenerateAuthenticatorResponse 方法的实现参考 [http://tools.ietf.org/html/rfc2759.html#section-8.7][2]

设置Radius响应消息属性 MS-CHAP2-Success = AuthenticatorResponse

[1]: http://tools.ietf.org/html/rfc2759.html#section-8.1 [2]: http://tools.ietf.org/html/rfc2759.html#section-8.7

转载于:https://my.oschina.net/jamiesun/blog/649629

weixin_33858336
关注
Radius协议、EAP协议、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS和EAP-PEAP
cqwei1987的博客
07-09 1万+
本文主要对Radius协议、EAP、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS和EAP-PEAP,从协议流程、数据格式等方面进行简单介绍。
认证方式探讨 EAP-MSCHAPV2
热门推荐
狂奔蜗牛的专栏
05-18 1万+
这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:           MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个resp
MySQL的chap服务器_mschapv2Radius认证实现
weixin_39880632的博客
02-02 429
mschapv2Radius认证实现Radius认证请求AccessRequest包如果包含 MS-CHAP2-Response 和 MS-CHAP-Challenge 属性则意味着需要实现ms-chap-v2认证。客户端 MS-CHAP2-Response 和 MS-CHAP-Challenge 生成的规则MS-CHAP-ChallengeMS-CHAP-Challenge (即Au...
EAP-MSCHAPv2
朱金华的专栏
04-24 1万+
近期移需要EAP-SIM/AKA, EAP-MSCHAPv2, EAP-PEAP等,编写产品需求,多看点协议。学习EAP-MSCHAPv2协议,下面是自己的理解及部分段落的翻译,看的是,Microsoft EAP CHAP Extensions      draft-kamath-pppext-eap-mschapv2-02.txt  2007也不知是不是最新的 E
FreeRadius: MS-CHAP v2
Huntinux
12-28 3689
https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handshake Authentication Protocol, CHAP. The protocol exists in two versions, MS-CHAPv1 (defined in RFC 2433
Python库 | radius-eap-mschapv2-client-1.0.1.tar.gz
05-21
资源分类:Python库 所属语言:Python 资源全名:radius-eap-mschapv2-client-1.0.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
PEAP-MSCHAPV2的论证
04-02
为了实现 PEAP-MSCHAPV2 论证,需要在 Radius 服务器和LDAP 服务器之间进行配置。具体步骤如下: 1. 在 LDAP 服务器添加 NTPASSWORD 域,以便 MS-CHAP 模块能够从 LDAP 服务器获取 NTPASSWORD。 2. 在 Radius ...
Eap无线加密服务器,使用hostapd做radius服务器进行EAP认证,巩固无线安全
weixin_29083475的博客
08-05 970
本帖最后由 bestgo 于 2009-12-29 20:18 编辑: _: c% M5 Q3 p' K8 I' m, E/ v* S! P如何构建hostapd:! z# ?3 _1 v% k4 c6 K! E+ U, _. S$ g! p7 l* v6 H: v0 q7 ~目前hostapd的最新版本是0.7.0,稳定版本是0.6.9,这里使用后者。/ r' W7 Q1 F& M" V...
Radius Mmanager开户与续费操作
03-21
Radius Manager 是一款强大的认证、授权和计费(AAA)服务器,尤其在PPPOE网络环境广泛应用,用于管理用户的网络接入服务。ROS(RouterOS)是MicroTik公司的路由器操作系统,常与Radius Manager配合使用,实现对用户...
使用 freeradius 搭建 EAP PEAP MS-CHAPv2 验证环境
洪伟的专栏
12-16 1万+
企业级 Wi-Fi 搭建起来有点小复杂,我们知道自己家使用的 Wi-Fi 非常简单,几乎只需要配置一下热点的 SSID 和密码就可以了,实际上这是两种 Wi-Fi 认证类型。想要快速部署企业级 Wi-Fi 验证环境,首先要理解企业级 Wi-Fi 部署的一些核心组件以及相应的协议。 一、Wi-Fi 认识 Wi-Fi(发音:/ˈwaɪfaɪ/,法语发音:/wifi/),在文里又称作“行动热点”,是 Wi-Fi 联盟制造商的商标做为产品的品牌认证,是一个创建于 IEEE 802.11 标准的无线局域网技术。基于
Eduroam接入认证MSCHAPv2分析及口令存储方式
cqwei1987的博客
07-09 4519
本文从Eduroam出发,进一步探讨MSCHAPV2认证方式,及其对口令存储的要求。经过系统分析,我们发现MSCHAPv2要求存储口令明文或者口令的MD4hash值,不支持带盐hash。
AD 域 实现 MSCHAPV2 认证
tsh185的专栏
03-12 3584
在做无线的 wpa(2) 企业认证,eap-peap(mschapv2) 认证, 用户信息保存在 AD域 终结模式 wac + AD 域认证实现 : wpa(2) 认证eap-peap(mschapv2) wac 为 linux 要求AD 域认证 最简单的办法就是 将 wac (linux )加入到 AD 域 (在这里使用 samba 套件) samba 依赖k
LDAP服务器不支持chap认证,某局点iMC-EIA使用mschapV2认证失败问题排查
weixin_42301086的博客
07-30 873
(1)分析mschapv2日志,通过分析ChapV2Jserver.log,日志有如下记录:从日志可以看到EIA使用smb连接AD服务器失败(2)检查LDAP服务器SMB1和SMB2协议是否开启,EIA7.3E0505版本只支持SMB1协议,E0510及后续版本开始同时支持SMB1和SMB2协议。检查方法如下:<1>登录LDAP服务器远程桌面<2>打开Powershell...
8021x认证MSCHAPv2流程
h_wlyfw的专栏
03-19 439
MSCHAPv2认证流程
【逗老师带你学IT】HUAWEI华为防火墙自动化运维Python ssh管理网络设备
逗老师的博客
10-25 3366
本文,介绍一种。通过Django框架,搭建API服务器,并通过此API服务器管理华为防火墙。并以此衍生出,通过Django+Python+ssh的方式管理网络设备的方法。 关于Django环境的搭建,请参照逗老师之前的一篇文章。 【逗老师带你学IT】Django+IIS+Python构建微软AD域控API管理心 搭建完环境之后,设计以下Python脚本,并import到Django的views。 我们通过下面这个脚本举例,,主要说明一下如何通过Python脚本远程ssh登录网络设备,并进行配置。 下面这
EAP-MSCHAPV2协议流程
编程技术, 日益精进
02-21 461
背景: 要实现LNS-AAA相关的东西, 其要使用radius与eap协议 但是在网上eap协议相关协议流程都是照搬的,有些博主自己都明白是怎么回事呢,就写上了 , 经历了一段曲折的经历,梳理了流程如下。
Radius/Free Radius/Diameter协议
情义唯真,友谊方长存
06-10 4830
RADIUS( Remote Access Dial In User Service) Protocol主要用来提供认证(Authentication)机制,用来辨认使用者的身份与密码,确认通过之后,经由授权(Authorization)使用者登入网域使用相关资源,并可提供计费(Accounting)机制,保存使用者的网络使用记录。Radius协议详细介绍可参见RFC2865,RFC2866。RA
CentOS7.7使用pptpd搭建服务器(配置好了,但是不能使用)
Hydra的博客
10-31 8152
一、环境准备 1.服务器 查看系统版本 cat /etc/redhat-release 操作系统:CentOS Linux release 7.7.1908 (Core) IP地址:122.51.8.56 2、客户端 windows10操作系统,手机端 二、服务器配置 1、确定内核是否支持mppe modprobe ppp-compress-18 && ec...
MS-Chapv2认证过程--RFC2759
12-27 2872
1.客户端发送request 2.服务端返回16字节的服务端AuthenticatorChallenge(随机数) 3.客户端生成16字节的客户端peerChallenge(随机数) 4.客户端计算根据password计算NTpasswordHash,并使用peerChallenge,A...
strongswan5.3.5 ipsec server eap-mschapv2认证方式配置
最新发布
09-11
StrongSwan是一款开源的IPsec(Internet Protocol Security)框架,用于实现企业级的网络通信加密。EAP-Mschapv2是一种基于Microsoft Challenge-Handshake Authentication Protocol(MS-CHAP v2)的身份验证协议,适用于IPSec IKE(Internet Key Exchange)协商。 要在StrongSwan 5.3.5设置IPsec服务器并启用EAP-Mschapv2认证,你需要按照以下步骤操作: 1. **安装和配置StrongSwan**: 首先确保你已经安装了StrongSwan,并创建了一个服务配置文件。你可以通过编辑`/etc/ipsec.conf`来配置基本的IPsec参数。 2. **添加IKE Phase 1配置**: 为IKE Phase 1(建立安全关联阶段)添加一个新的配置段,例如: ``` config ike { # IKE proposal proposals = ikedemo; # EAP-Mschapv2 authentication method eap = mschapv2; } ``` 3. **IKE Phase 2配置**: 创建一个IKE Phase 2(隧道模式)配置,指定IKE交换机和IPSec SA(Security Association)信息: ``` conn myconn { left = <your-ip>:<ike-port> # 通常IKE端口是500 right = <remote-ip>:<ipsec-tunnel-port> # 通常是4500 or 5001 authby = secret; auto=start; type=tun; esp=%ike.proposals; ike=%ike; } ``` 将 `<your-ip>` 替换为你的服务器地址,`<remote-ip>` 替换为客户需要连接的IP地址。 4. **添加EAP身份验证密钥**: 编辑IKE Phase 1部分的`secret`配置,提供用于EAP-Mschapv2认证的共享秘密: ``` secret /etc/ipsec.secrets <your-hostname>.local %ike: <shared-secret>; ``` 这里的`<shared-secret>`就是你们双方约定的共享密钥。 5. **启动 StrongSwan**: 重启或初始化StrongSwan服务,使其应用新的配置: ```bash systemctl restart strongswan ``` 6. **测试连接**: 客户端应该能够发起EAP-Mschapv2身份验证尝试,如果一切配置无误,他们将成功建立IPsec连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值