
Thanks for the information, your really helped me A LOT!<div><br></div><div>I already looked into 

<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/<u></u>documents/protocols/<u></u>compatibility.html</a> but I hoped there could be some way around this.</div>

<div><br></div><div><br></div><div><br><div class="gmail_quote">2012/7/11 Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On 11/07/12 14:04, Marco Macala wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

 > if you dont trust the network then you will also need to looking at<br>

using TLS to transport<br>

 > things around - eg RADSEC or a VPN tunnel.<br>

<br>

isn't the point of PEAP that i don't need them because it is wrapped in<br>

an encrypted communication?<br>

</blockquote>

<br></div>

Yes.<div class="im"><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

 > as for NT hash - yes, there are security issues but only if you have<br>

access to them<br>

 > or expose them - if you bind the FreeRADIUS system to an AD and use<br>

eg ntlm_auth then the NThash<br>

 > isnt accessed.<br>

<br>

The thing is, i can't use AD to store the passwords. Specifically, i<br>

would like to store the password as a salted hash.<br>

</blockquote>

<br></div>

You can't do this, and use PEAP. PEAP requires MSCHAPv2, which requires plaintext or NT hash exist SOMEWHERE. See:<br>

<br>

<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/<u></u>documents/protocols/<u></u>compatibility.html</a><div class="im"><br>

<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

I want something like this:<br>

- encrypted channel between authenticator and radius server<br>

</blockquote>

<br></div>

PEAP or TTLS will provide this.<div class="im"><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

- passwords stored as a salted hash<br>

</blockquote>

<br></div>

Only TTLS-PAP will provide this. See the link above. TTLS is not available until Windows 8, so you will need to deploy software on windows clients.<div class="HOEnZb"><div class="h5"><br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/<u></u>list/users.html</a><br>

</div></div></blockquote></div><br></div>