我想将 Kerberos 与 FreeRADIUS 结合使用,但我不想让 FreeRADIUS 访问任何密码(散列或其他方式),尤其是因为如果使用智能卡身份验证,此类密码可能不存在。我更希望 FreeRADIUS 仅能访问 Kerberos 票证。我该怎么做?
答案1
不,很遗憾不是。这不是 FreeRADIUS 的限制,因为没有 EAP 方法原生支持 Kerberos。使用 RADIUS 进行 kerberos 登录的唯一方法是使用以明文形式提供凭据的 EAP 方法,然后使用它们在 RADIUS 服务器上解密 TGT。
过去 10 年来,我一直在哀叹这一事实,因为网络层和应用程序之间的 SSO 会很棒。不幸的是,行业似乎存在太多惰性,我们不太可能获得这样的 EAP 方法,尤其是当我们已经过了 Kerberos 的巅峰期时。