<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 15, 2014 at 7:41 PM, Ethan Chrisawn <span dir="ltr"><<a href="mailto:echrisawn@ecrsoft.com" target="_blank">echrisawn@ecrsoft.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<div style="font-style:normal;font-variant:normal;font-weight:normal;font-size:10pt;line-height:normal;font-family:'Segoe UI';margin:4px 4px 1px">
<div>I've been searching for a while now, and I can't seem to find a good answer. I have an ldap server and I would like to authenticate my users wirelessly without generating individual client certs for every device.</div>

<div> </div>
<div>I heard that PEAP doesn't require the manual creation of client certs, but I can't use that with ldap because I can't pass it a cleartext password, right? What other options do I have to accomplish what I'm after?</div>
</div>
<br></blockquote><div><br></div><div><br></div><div>For starters:</div><div><br></div><div>(1) what kind of LDAP server are you using? Can you get plain-text or NT-hash passwords from it? Is it Active Directory?</div><div>
<br></div><div>(2) what kind of clients are you using? e.g. all windows 8? mix of clients?</div><div><br></div><div>(3) do you have third-party WPA supplicant for your clients (e.g. odyssey access client, or something similar)?</div>
<div><br></div><div>Depending on the answer for those questions, it might be possible. For example, if your clients are all windows 8 or above, then you should be able to use TTLS-PAP (which passes cleartext password in the inner tunnel).</div>
<div><br></div><div>-- </div><div>Fajar</div><div><br></div><div><br></div><div><br></div></div></div></div>