<div dir="ltr"><div><div><div><div><div><div><div>Hello!<br><br></div>I'm trying to authenticate users from LDAP with FreeRadius by PAP protocol. Passwords are stored in LDAP in NT-hash. It's not my idea, I just have to do it.<br><br></div>When I do <br><br>radtest -t pap ....<br><br></div>I see from freeradius -X:<br><br>[pap] login attempt with password "n*******W"<br>[pap] Using clear text password "1D******************************9B"<br>[pap] Passwords don't match<br>++[pap] returns reject<br>Failed to authenticate the user.<br>Login incorrect (rlm_pap: CLEAR TEXT password check failed): [user/n***********W] (from client localhost port 0)<br>Using Post-Auth-Type Reject<br><br></div>So, FreeRadius compares my clear-text password with NT-hash taken from LDAP. Of course they are mismatched and I got a reject. If I'm using this hash as a password, it works.<br><br></div>At same time if I use mschap, it works well:<br><br>radtest -t mschap ...<br><br>+- entering group MS-CHAP {...}<br>[mschap] Found LM-Password<br>[mschap] Found NT-Password<br>[mschap] Told to do MS-CHAPv1 with NT-Password<br>[mschap] adding MS-CHAPv1 MPPE keys<br>++[mschap] returns ok<br><br><br><br></div>So the question is: how to force PAP to create NT-hash from the given password and compare hash and hash. but not the password and hash?<br><br></div>Thank you!<br><div><div><br></div></div></div>