
<br><br><div class="gmail_quote">2010/10/6 schilling <span dir="ltr"><<a href="mailto:schilling2006@gmail.com">schilling2006@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

There is smbencrypt radius-utils to generate LM Hash and NT Hash,  Any<br>

known good perl script to do this?<br></blockquote><div><br></div>

<div>You can use Crypt::SmbHash (from CPAN).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

sding@palm:/usr/bin$ smbencrypt schilling<br>

LM Hash                                 NT Hash<br>

--------------------------------        --------------------------------<br>

D134D8CD21607749DD4218F5E59DD23A<br>

<br>

AF8AC3EF6579FC768515F960FB2096AC<br>

<br>

<br>

<br>

Then which one is required?<br></blockquote><div><br></div>

<div>NT Hash is required.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<br>

Any format requirement in the ldap? Or just copy the 32 character and<br>

put in the ldap?<br>

<br></blockquote><div> </div>

<div>Just put the NT Hash in the sambaNTPassword field in LDAP.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Thanks.<br>

<font color="#888888"><br>

Schilling<br>

</font><div><div></div><div class="h5"><br>

On Wed, Oct 6, 2010 at 2:19 PM, Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>> wrote:<br>

> schilling wrote:<br>

>> We are trying to use ldap as backend database for dot1x peap<br>

>> authentication thru freeradius.  The following link has good<br>

>> explanation.<br>

>><br>

>> <a href="http://vuksan.com/linux/dot1x/802-1x-LDAP.html" target="_blank">http://vuksan.com/linux/dot1x/802-1x-LDAP.html</a><br>

><br>

>  Note it's 5 years old...<br>

><br>

>> But do we really need both ntpassword and lmpassword in the ldap directory?<br>

><br>

>  No.<br>

><br>

>> windows client send username and ntpassword to NAS<br>

>> NAS send the username/ntpassword to radius in a tunnel<br>

>> radius unwrap the tunnel, using the username to fetch the ntpassword<br>

>> from ldap, do a comparison of ldap returned ntpassword and unwrapped<br>

>> ntpassword, if they are the same, authentication accept.<br>

><br>

>  No.  It's a *lot* more complicated than that.<br>

><br>

>  All you need to do is to uncomment "ldap" in<br>

> raddb/sites-available/inner-tunnel, and it should work.<br>

><br>

>  Alan DeKok.<br>

> -<br>

> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

><br>

<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</div></div></blockquote></div><br>