<br><br><div class="gmail_quote">2010/10/6 schilling <span dir="ltr"><<a href="mailto:schilling2006@gmail.com">schilling2006@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
There is smbencrypt radius-utils to generate LM Hash and NT Hash,  Any<br>
known good perl script to do this?<br></blockquote><div><br></div>
<div>You can use Crypt::SmbHash (from CPAN).</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
sding@palm:/usr/bin$ smbencrypt schilling<br>
LM Hash                                 NT Hash<br>
--------------------------------        --------------------------------<br>
D134D8CD21607749DD4218F5E59DD23A<br>
<br>
AF8AC3EF6579FC768515F960FB2096AC<br>
<br>
<br>
<br>
Then which one is required?<br></blockquote><div><br></div>
<div>NT Hash is required.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
Any format requirement in the ldap? Or just copy the 32 character and<br>
put in the ldap?<br>
<br></blockquote><div> </div>
<div>Just put the NT Hash in the sambaNTPassword field in LDAP.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Thanks.<br>
<font color="#888888"><br>
Schilling<br>
</font><div><div></div><div class="h5"><br>
On Wed, Oct 6, 2010 at 2:19 PM, Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>> wrote:<br>
> schilling wrote:<br>
>> We are trying to use ldap as backend database for dot1x peap<br>
>> authentication thru freeradius.  The following link has good<br>
>> explanation.<br>
>><br>
>> <a href="http://vuksan.com/linux/dot1x/802-1x-LDAP.html" target="_blank">http://vuksan.com/linux/dot1x/802-1x-LDAP.html</a><br>
><br>
>  Note it's 5 years old...<br>
><br>
>> But do we really need both ntpassword and lmpassword in the ldap directory?<br>
><br>
>  No.<br>
><br>
>> windows client send username and ntpassword to NAS<br>
>> NAS send the username/ntpassword to radius in a tunnel<br>
>> radius unwrap the tunnel, using the username to fetch the ntpassword<br>
>> from ldap, do a comparison of ldap returned ntpassword and unwrapped<br>
>> ntpassword, if they are the same, authentication accept.<br>
><br>
>  No.  It's a *lot* more complicated than that.<br>
><br>
>  All you need to do is to uncomment "ldap" in<br>
> raddb/sites-available/inner-tunnel, and it should work.<br>
><br>
>  Alan DeKok.<br>
> -<br>
> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
><br>
<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br>