在我的事件日志中,当我的路由器尝试使用 Radius 进行身份验证时,我收到以下信息:
“无法使用质询握手身份验证协议 (CHAP) 对用户进行身份验证。此用户帐户不存在可逆加密密码。要确保已启用可逆加密密码,请检查域密码策略或用户帐户上的密码设置。”
但是,我在 AD 中的用户属性中为我正在使用的帐户启用了该功能。是否需要在其他地方启用该功能,或者我是否必须等待它复制或重新启动服务(Radius 除外)?IAS 服务器与域控制器是同一台计算机,我在该计算机上进行了更改,因此我认为它会立即生效。
此外,“可逆加密密码”到底有多不安全?
编辑:
如果有更好的方法,我可能还应该说明我这样做的原因。我正在设置 Cisco 路由器作为客户端发起的 L2TP/IPSec 隧道的端点。我想通过 AD 进行身份验证,因此如果有更好的方法来处理身份验证,请告诉我 :-) 理想情况下,我仍然可以使用内置的 Windows VPN 客户端。
答案1
Microsoft 的 TechNet 页面上有关于此内容的内容(这里)基本上说:
“使用可逆加密存储密码本质上与存储纯文本版本的密码相同。因此,除非应用程序要求超过保护密码信息的需要,否则永远不应启用此策略。”
答案2
mh 的链接非常准确 - 一旦以可恢复的方式存储了某些内容,就应该认为它与纯文本无异。由于它在 AD 中实现,因此启用可逆加密意味着任何具有域管理员权限的人(或任何事物)都可以解密密码,因为他们可以访问全局 LSA 机密,这是该过程中唯一使用且在任何意义上都是机密的部分,其他所有相关内容都可以由任何人从 AD 中读取,或者包含在可以操纵\逆向工程的 DLL 中。
从攻击角度来看,如果有人拥有域管理员权限,游戏就结束了,但从内部安全角度来看,这也意味着域管理员可以将密码解密为原始纯文本,这并不好。如果没有其他原因,我不希望面临安全调查,其中关键证据是事件日志条目,显示用户使用密码登录和退出,从技术上讲,如果我愿意,我可以知道。
Niels Teusink 发表了一系列有趣的博客文章,讨论这个问题这里。
在身份验证方面有很多更好的替代方案(X.509 证书、一次性密码令牌、智能卡……),但您是否可以使用它们取决于您的应用程序和用户需要使用的客户端系统。如果您完全控制环境,您应该能够找到一种解决方案,让您避免使用它们,但正确实施它们可能会花费高昂,并且您的用户可能会发现它们不方便。
根据你的更新进行了编辑我建议使用 AD 集成证书,虽然工作量有点大,但最终结果是可靠的,并且您可以将该功能重复用于许多其他事情。
答案3
它不起作用的原因显然是因为必须重置密码。我可以通过 Active Directory 执行此操作。
此外,我似乎可以将路由器和 Radius 服务器配置为使用 ms-chap-v2,这不需要我使用可逆加密存储密码。