LDAP服务器不支持chap认证,终端使用EIA进行PEAP-GTC认证失败的原因分析

最新推荐文章于 2025-05-30 13:28:16 发布
最新推荐文章于 2025-05-30 13:28:16 发布
阅读量3.1k 收藏
点赞数
文章标签: LDAP服务器不支持chap认证
本文分析了一起由于 LDAP 服务器不支持CHAP认证,导致终端使用PEAP-GTC认证失败的问题。在认证过程中,终端因不支持GTC而切换到MSchapv2,但服务器从Open LDAP获取的密码为SSHA加密,无法完成比对,致使认证失败。PC端因不支持GTC且无法获取明文密码而失败,而手机端因支持GTC认证得以成功上线。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跟现场确认,现场认证的账号是从通用LDAP服务器同步过来的,配置的是PEAP-GTC认证。让现场反馈认证时的UAM调试日志和抓包;首先分析UAM调试日志如下:

%% 2017-12-05 16:04:30.091 ; [LDBG] ; [11196] ; LAN ; 2017011@****.cn ; 1 ; 1593b1277566447c9b5a93c04581609c ; Received message from 10.252.11.84:

CODE = 1.///认证请求报文

ID = 168.

ATTRIBUTES:

User-Name(1) = "2017011@****.cn".

Service-Type(6) = 2.

Framed-Protocol(7) = 1.

NAS-Identifier(32) = "AC".

NAS-Port(5) = 33.

NAS-Port-Type(61) = 19.

NAS-Port-Id(87) = "VLANID=33;".

Calling-Station-Id(31) = "80-19-34-27-F8-1C".

Called-Station-Id(30) = "AC-74-09-67-**-**:eduroam".

Acct-Session-Id(44) = "00000004201712051603160000009016100482".

HW_NEW_USER_ATTRIBUTE_NAME(133) = "".

EAP-Message(79) = "02020019013230313730313140666a74636d2e6564752e636e".///01表示上传用户名

服务器随后根据服务器侧配置的接入策略名查询,发现该用户需要进行PEAP认证,并回应终端认证challenge。

%% 2017-12-05 16:04:30.092 ; [LDB

最低0.47元/天 解锁文章

200万优质内容无限畅学
信息安全与身份认证技术详解
悦分享
10-03 555
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。用户在对内网不同部门进行访问之前,需要对身份信息进行审核,准入控制用户身份的认证、授权可以在接入控制设备上完成,也可以交由服务器完成。如果在接入控制设备上完成,则相当在接入控制设备上配置一个本地的用户认证服务器
Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan
taylorgogo
06-11 5377
索引环境安装链接Ubuntu 安装 Strongswan配置 Strongswang配置 Freeradius配置Strongswan VPN APPDebug应用 环境 @Linux uname -a Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux @Strongswan ipsec --version Linux strongSwan U5
LDAP认证插件 EAP-GTC win10-x64
05-12
Windows操作系统自带拨号终端不支持EAP-GTC认证协议,因此无法认证成功。只有一些移动终端和macOS支持EAP-GTC,Windows需要用户自己安装软件支持EAP-GTCLDAP认证插件 EAP-GTC win10-x64
LDAP服务器不支持chap认证,某局点iMC-EIA使用mschapV2认证失败问题排查
weixin_42301086的博客
07-30 1001
(1)分析mschapv2日志,通过分析ChapV2Jserver.log,日志有如下记录:从日志中可以看到EIA使用smb连接AD服务器失败(2)检查LDAP服务器SMB1和SMB2协议是否开启,EIA7.3E0505版本只支持SMB1协议,E0510及后续版本开始同时支持SMB1和SMB2协议。检查方法如下:<1>登录LDAP服务器远程桌面<2>打开Powershell...
It is recommended to disable TLS 1.1 and replace it with TLS 1.2 or higher.修复方案
最新发布
上班搞IT,下班搞ITF。
05-30 1150
本文提供禁用 TLS 1.1 并强制使用 TLS 1.2+ 的安全修复方案。首先通过 OpenSSL、nmap 或 SSL Labs 检测当前 TLS 版本支持情况。然后详细介绍了在 Nginx、Apache、Tomcat、Java 和 IIS 中禁用 TLS 1.1 的具体配置方法,以及相应的服务重启命令。最后给出验证方法和加固建议,确保服务器仅支持更安全的 TLS 1.2/1.3 协议。该方案可有效防范 BEAST、POODLE 等攻击,提升系统安全性。
Windows服务器不支持CHAP原因猜测
奋斗的蜗牛的专栏
12-06 1567
     CHAP是一个标准的PPP的认证协议,但是出乎意料的是居然windows 2000/xp/2000 server版本 在作为PPP服务器(包括PPTP,L2TP,PPPoE等利用PPP的认证功能的协议)均不能支持CHAP认证,而在作为客户端时能支持服务器CHAP认证,这样似乎有点奇怪。          我通过一段时间的思考,还是猜到了一个原因:windows将密码通过不可逆加密后来保
LDAP服务器和客户端的加密认证》RHEL6——第二篇 运维工程师必考
weixin_30335353的博客
05-06 120
 服务端的配置: (基于原先配好的ldap服务器)打开加密认证: Iptables –F setenforce 0 1、编辑ldap的配置文件:slapd.conf 2、启动ldap服务器: 3、切换到:、/etc/pki/tls/certs/下面、make slapd.pem: 4、证书只做好后要让ldap服务器识别: 5、修改slapd.pem的权限: ...
OpenHarmony中EAP-PEAP认证支持 GTC方式
bobhu4201的博客
10-20 1016
OpenHarmony中EAP-PEAP认证支持 GTC方式 1 问题现象 2 初步分析 3 解决方案
在Openwrt上配置freeradius进行EAP-TLS认证
magikorb的博客
10-01 8528
WPA2/WPA3协议支持基于EAP(可扩展身份验证协议)的认证。相较于使用PSK(预共享密钥)的认证而言,其安全性高出许多。EAP认证需要使用一个RADIUS服务端,而在Openwrt端较为理想的RADIUS服务端是freeradius。对于大多数内存达到128MB的路由器来说,直接在路由器本地运行freeradius是可行的(笔者使用的是Xiaomi AC2100路由器,21.02版本)。本文大致讲述在Openwrt上配置freeradius及其EAP-TLS认证协议的方法。 1.安装必要软件...
Eduroam接入认证、MSCHAPv2分析及口令存储方式
cqwei1987的博客
07-09 4780
本文从Eduroam出发,进一步探讨MSCHAPV2认证方式,及其对口令存储的要求。经过系统分析,我们发现MSCHAPv2要求存储口令明文或者口令的MD4hash值,不支持带盐hash。
win11不支持PEAP-GTC认证协议而无法连接DHU-1X问题的解决方案
Jundifang的博客
08-28 1493
win11连接DHU-1X全流程
EAP-GTC win7-x64
05-12
Windows操作系统自带拨号终端不支持EAP-GTC认证协议,因此无法认证成功。只有一些移动终端和macOS支持EAP-GTC,Windows需要用户自己安装软件支持EAP-GTCLDAP认证插件 EAP-GTC win7-x64
网络接入控制——用户身份识别与接入认证
VVVVWeiYee的博客
11-25 1375
没有认证,你的心会碎掉吗?
自用笔记(1)——windos连接特定网络时,“选择身份验证方法”,没有“EAP-Token”选项的原因与解决方法
FHXYXYP的博客
02-27 1279
原因:部分无线网(比如DHU)的身份认证采用PEAP-GTC进行加密认证,MAC OS只需连接后输入统一身份认证账号密码,无需特殊配置;Windows操作系统不支持PEAP-GTC认证协议,需安装PEAP-GTC驱动程序(也包括之前安装过驱动,但是重装系统后忘了这事的情况)解决方法:自己在学校信息化办公室的下载专区下载驱动,并从头执行无线网登录操作。
无线网络的各种安全性类型
石头的专栏
06-20 3598
保护您的无线网络 在家庭无线网络中,您可以使用不同的简单安全性措施来保护您的网络和连接。您可以: 启用 Wi-Fi 保护性接入(WPA)。 更改您的密码。 更改网络名称(SSID)。 Wi-Fi 保护性接入(WPA) 提供加密以帮助保护您在网络上数据。WPA 使用一种加密密钥(称为预配置共享密钥 )在数据传输之前对其加密。您需要在您的家庭或小商业网络上的所有计算机和接入点(AP)上输
常见身份验证协议
热门推荐
yongren_z的博客
10-21 1万+
PAP(PasswordAuthenticationProtocol 密码认证协议) PAP 是 PPP 协议集中的一种链路控制协议,通过2次握手建立认证,对等结点持续重复发送 ID/ 密码(明文)给验证者,直至认证得到响应或连接终止,常见于PPPOE拨号环境中。 PAP认证过程 首先被认证方向认证方发送认证请求(包含用户名和密码),以明文形式进行传输...
第12章 安全通信与网络攻击
HeLLo_a119的博客
11-30 2180
安全通信与网络攻击
实现Radius+LDAP认证测试平台
yoki2009的专栏
05-27 7162
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅
认证方式探讨 EAP-MSCHAPV2
狂奔蜗牛的专栏
05-18 1万+
这两天研究EAP认证,随便写了一个点笔记,发出来共享一下:           MSCHAP方式是,首先服务器发一个challenge给用户,用户向RADIUS发一个用MD4加密的(password,challenge)给RADIUS(叫response),radius的MSCHAP模块向LDAP询问NTPASSWORD,然后自己再用challenge和NTPASSWORD,来计算一个resp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值