Configuration Freeradius avec Active directory W2019

[Willow9]

Bonjour,

J'ai le message d'erreur suivant lors des tentatives de connexion en WiFi avec l'authentification RADIUS et  un connecteur LDAP (Active directory) :

Auth: (1) Login incorrect (eap_peap: The users session was previously rejected: returning reject (again.)): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 cli AC-XX-XX-XX-XX-XX)   
Auth: (1) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [demo1/<via Auth-Type = eap>] (from client Unifi-AC port 0 via TLS tunnel)

Pour Information:
Version OPNsense : OPNsense 23.1.9-amd64
Serveur LDAP : Windows Serveur 2019

Configuration du connecteur LDAP Freeradius

Inner-Tunnel LDAP : check   
Protocol Type : LDAP
Server : 192.168.200.1
Server Port : 389
Certificate : none
Start TLS : uncheck
   
Bind User : CN=bind,CN=Users,DC=mondomaine,DC=local
Bind Password : •••••••••••
Base DN : DC=mondomaine,DC=local
User Filter : (sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})
Group Filter : empty

Le module Freeradius est il compatible avec les serveur LDAP Windows (Active directory), dans mon cas Window serveur 2019

[Willow9]

Remarque  :
Les connexions TTLS/PAP fonctionnent.
Néanmoins  cette méthode n'est pas très sécurisée car elle  est vulnérable aux attaques Man-in-the-Middle.

Le protocole que je souhaite mettre en place est le PEAP/MSCHAPv2

[Willow9]

A titre d'information
Le systèmes d'identité LDAP avec Freeradius  est compatible uniquement avec le protocole d'authentification PAP

http://deployingradius.com/documents/protocols/oracles.html
https://cloudinfrastructureservices.co.uk/setup-freeradius-active-directory-authentication-integration/

[Patrick M. Hausen]

You could run RADIUS on your domain controller. Windows does have an integrated one named IAS - Internet Authentication Service.

Google translate:

Vous pouvez exécuter RADIUS sur votre contrôleur de domaine. Windows en a un intégré nommé IAS - Internet Authentication Service.