Foro en Español

Reply
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Password type LDAP solo funciona con cleartext

Buenas Tardes!

Estamos configurando un clearpass para que autentique usuarios contra un OpenLDAP. La contraseña de los usuarios esta protegida con SSHA, que por lo que hemos visto, es un protocolo expecificado en la RFC 2307 (primera vez que veo esto) Con lo que se nos plantean varios problemas:

1. Hemos visto que clearpass no permite poner ese tipo de contraseña dentro de la configuracion del LDAP

2. Hemos cambiado el tipo, a un solo usuario, a SHA256 y tampoco nos ha funcionado.

Solo nos funciona si lo ponemos en cleartext, ¿Sabeis porque puede ser debido? Estamos en la versión 6.5.5.78974 en un CP-VA-500

Saludos!!

 

Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Password type LDAP solo funciona con cleartext

Hola

Acabo de dar con la solucion siguiendo este foro!

http://community.arubanetworks.com/t5/Foro-en-Espa%C3%B1ol/A-vueltas-con-el-HASH-de-LDAP/td-p/219739

Resulta que con EAP-MSCHAP V2, que es el tipo de autenticacion que usa Windows, solo permite el cleartext y NThash.... ¿Estoy en lo cierto?

Moderator
Posts: 918
Registered: ‎07-29-2010

Re: Password type LDAP solo funciona con cleartext

Así es, el cliente 802.1X de Windows envía las claves codificadas en formato NT-HASH. Por lo tanto para que pueda funcionar la autenticación PEAP-MsCHAPv2 tu base de datos tiene que tener las claves bien en claro o bien con NT-HASH.

 

Como alternativas, instalar un plugin en los clientes Windows para que usen otra codificación de claves o utilizar autenticación EAP-TLS (mucho más recomendable).

 

Saludos

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 12
Registered: ‎12-29-2015

Re: Password type LDAP solo funciona con cleartext

Ok, gracias Samuel

Lo probaremos asi

Saludos!!

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Password type LDAP solo funciona con cleartext

Hola estimado, otra opción que podrías emplear, es autenticar con tu ldap con una red con portal cautivo (PAP) y hacer onboarding con ClearPass. Ya teniendo onboarding harías uso de 802.1x y la comunicación sería del controlador inalámbrico hacia ClearPass

 

Saludos,

Search Airheads
Showing results for 
Search instead for 
Did you mean: