Thanks for the information, your really helped me A LOT!<div><br></div><div>I already looked into 
<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/<u></u>documents/protocols/<u></u>compatibility.html</a> but I hoped there could be some way around this.</div>
<div><br></div><div><br></div><div><br><div class="gmail_quote">2012/7/11 Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 11/07/12 14:04, Marco Macala wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
 > if you dont trust the network then you will also need to looking at<br>
using TLS to transport<br>
 > things around - eg RADSEC or a VPN tunnel.<br>
<br>
isn't the point of PEAP that i don't need them because it is wrapped in<br>
an encrypted communication?<br>
</blockquote>
<br></div>
Yes.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
 > as for NT hash - yes, there are security issues but only if you have<br>
access to them<br>
 > or expose them - if you bind the FreeRADIUS system to an AD and use<br>
eg ntlm_auth then the NThash<br>
 > isnt accessed.<br>
<br>
The thing is, i can't use AD to store the passwords. Specifically, i<br>
would like to store the password as a salted hash.<br>
</blockquote>
<br></div>
You can't do this, and use PEAP. PEAP requires MSCHAPv2, which requires plaintext or NT hash exist SOMEWHERE. See:<br>
<br>
<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/<u></u>documents/protocols/<u></u>compatibility.html</a><div class="im"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I want something like this:<br>
- encrypted channel between authenticator and radius server<br>
</blockquote>
<br></div>
PEAP or TTLS will provide this.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
- passwords stored as a salted hash<br>
</blockquote>
<br></div>
Only TTLS-PAP will provide this. See the link above. TTLS is not available until Windows 8, so you will need to deploy software on windows clients.<div class="HOEnZb"><div class="h5"><br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/<u></u>list/users.html</a><br>
</div></div></blockquote></div><br></div>