<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=GB2312" http-equiv=Content-Type>
<STYLE>
BLOCKQUOTE {
        MARGIN-BOTTOM: 0px; MARGIN-TOP: 0px; MARGIN-LEFT: 2em
}
OL {
        MARGIN-BOTTOM: 0px; MARGIN-TOP: 0px
}
UL {
        MARGIN-BOTTOM: 0px; MARGIN-TOP: 0px
}
P {
        MARGIN-BOTTOM: 0px; MARGIN-TOP: 0px
}
BODY {
        FONT-SIZE: 10.5pt; FONT-FAMILY: 宋体; COLOR: #000080; LINE-HEIGHT: 1.5
}
</STYLE>

<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY style="MARGIN: 10px">
<DIV>This is my case:</DIV>
<DIV>PAP backend is pam_ldap or FreeRADIUS, which can integrate to Windows AD by 
LDAP or winbind.</DIV>
<DIV>EAP-MSCHAPv2 backend is FreeRADIUS.</DIV>
<DIV> </DIV>
<DIV>
<DIV>XAuth-PSK(PAP):</DIV>
<DIV>iOS:         IPSec</DIV>
<DIV>Android:     IPSec XAuth PSK</DIV>
<DIV> </DIV>
<DIV>EAP-MSCHAPv2(MSCHAPv2):</DIV>
<DIV>Windows 7+:  IKEv2+EAP-MSCHAPv2</DIV></DIV>
<DIV> </DIV>
<DIV>#-----------------------------------------</DIV>
<DIV> </DIV>
<DIV>
<DIV>conn XAuth-PSK</DIV>
<DIV>    keyexchange=ikev1</DIV>
<DIV>    ike=aes128-sha1-modp1024</DIV>
<DIV>    esp=aes128-sha1</DIV>
<DIV>    dpdaction=clear</DIV>
<DIV>    rekey=no</DIV>
<DIV>    left=%any</DIV>
<DIV>    leftauth=psk</DIV>
<DIV>    leftsubnet=0.0.0.0/0</DIV>
<DIV>    #leftfirewall=yes</DIV>
<DIV>    right=%any</DIV>
<DIV>    rightauth=psk</DIV>
<DIV>    rightauth2=xauth</DIV>
<DIV>    #rightauth2=xauth-radius | xauth-generic | xauth-pam | xauth-eap</DIV>
<DIV>    rightsourceip=192.168.3.0/24</DIV>
<DIV>    auto=add</DIV>
<DIV> </DIV>
<DIV>conn EAP-MSCHAPv2</DIV>
<DIV>    keyexchange=ikev2</DIV>
<DIV>    ike=aes256-sha256-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024!</DIV>
<DIV>    esp=aes256-sha256,aes128-sha1,3des-sha1!</DIV>
<DIV>    dpdaction=clear</DIV>
<DIV>    rekey=no</DIV>
<DIV>    leftid=@vpn.mydomain.com</DIV>
<DIV>    left=%any</DIV>
<DIV>    leftauth=pubkey</DIV>
<DIV>    leftcert=vpn-server.cert.pem</DIV>
<DIV>    leftsendcert=always</DIV>
<DIV>    leftsubnet=0.0.0.0/0</DIV>
<DIV>    #leftfirewall=yes</DIV>
<DIV>    right=%any</DIV>
<DIV>    #rightauth=eap-mschapv2</DIV>
<DIV>    rightauth=eap-radius</DIV>
<DIV>    rightsendcert=never</DIV>
<DIV>    rightsourceip=192.168.3.0/24</DIV>
<DIV>    eap_identity=%any</DIV>
<DIV>    auto=add</DIV></DIV>
<DIV> </DIV>
<DIV>
<DIV>############################################################</DIV>
<DIV># /usr/local/strongswan/etc/strongswan.d/charon/xauth-pam.conf</DIV>
<DIV>############################################################</DIV>
<DIV> </DIV>
<DIV>pam_service = ldap</DIV>
<DIV> </DIV>
<DIV>#----------------------------------------------------------</DIV>
<DIV> </DIV>
<DIV>yum install pam_ldap -y</DIV>
<DIV> </DIV>
<DIV>vi /etc/pam_ldap.conf</DIV>
<DIV>host ldap.example.com</DIV>
<DIV>base dc=example,dc=com</DIV>
<DIV>binddn CN=user1,CN=users,DC=example,DC=com</DIV>
<DIV>bindpw user1-password</DIV>
<DIV>scope sub</DIV>
<DIV>#pam_groupdn cn=group1,ou=groups,dc=example,dc=com</DIV>
<DIV>#pam_min_uid 0</DIV>
<DIV>#pam_max_uid 0</DIV>
<DIV># RFC 2307 (AD) mappings</DIV>
<DIV>nss_map_objectclass posixAccount user</DIV>
<DIV>nss_map_objectclass shadowAccount user</DIV>
<DIV>nss_map_attribute uid sAMAccountName</DIV>
<DIV>nss_map_attribute homeDirectory unixHomeDirectory</DIV>
<DIV>nss_map_attribute shadowLastChange pwdLastSet</DIV>
<DIV>nss_map_objectclass posixGroup group</DIV>
<DIV>nss_map_attribute uniqueMember member</DIV>
<DIV>pam_login_attribute sAMAccountName</DIV>
<DIV>pam_filter &(objectClass=user)(!(userAccountControl=514))</DIV>
<DIV>pam_password ad</DIV>
<DIV>referrals no</DIV>
<DIV># 注:binddn/bindpw/pam_filter不加引号或括号,即便有空格</DIV>
<DIV> </DIV>
<DIV>vi /etc/pam.d/ldap</DIV>
<DIV>#%PAM-1.0</DIV>
<DIV>auth        sufficient    pam_ldap.so</DIV>
<DIV>account     sufficient    pam_ldap.so</DIV>
<DIV>password    sufficient    pam_ldap.so</DIV>
<DIV>#auth       sufficient    pam_unix.so</DIV>
<DIV>#account    sufficient    pam_unix.so</DIV>
<DIV>#password   sufficient    pam_unix.so</DIV>
<DIV># 注:启用unix模块可同时认证系统账号。</DIV>
<DIV> </DIV>
<DIV>############################################################</DIV>
<DIV># /usr/local/strongswan/etc/strongswan.d/charon/eap-radius.conf</DIV>
<DIV>############################################################</DIV>
<DIV> </DIV>
<DIV>eap-radius {</DIV>
<DIV>    accounting = yes</DIV>
<DIV>    load = yes</DIV>
<DIV> </DIV>
<DIV>    servers {</DIV>
<DIV>        localhost {</DIV>
<DIV>            address = 127.0.0.1</DIV>
<DIV>            auth_port = 1812</DIV>
<DIV>            acct_port = 1813</DIV>
<DIV>            sockets = 10</DIV>
<DIV>            secret = radiuspsk</DIV>
<DIV>            nas_identifier = StrongSwan</DIV>
<DIV>        }</DIV>
<DIV>    }</DIV>
<DIV>}</DIV></DIV>
<DIV> </DIV>
<HR style="HEIGHT: 1px; WIDTH: 210px" align=left color=#b5c4df SIZE=1>

<DIV><SPAN>JWD</SPAN></DIV>
<DIV> </DIV>
<DIV 
style="BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; BORDER-BOTTOM: medium none; PADDING-BOTTOM: 0cm; PADDING-TOP: 3pt; PADDING-LEFT: 0cm; BORDER-LEFT: medium none; PADDING-RIGHT: 0cm">
<DIV 
style="FONT-SIZE: 12px; BACKGROUND: #efefef; COLOR: #000000; PADDING-BOTTOM: 8px; PADDING-TOP: 8px; PADDING-LEFT: 8px; PADDING-RIGHT: 8px">
<DIV><B>From:</B> <A href="mailto:M.Roos@f1-outsourcing.eu">Marc 
Roos</A></DIV>
<DIV><B>Date:</B> 2018-01-28 06:30</DIV>
<DIV><B>To:</B> <A href="mailto:users@lists.strongswan.org">users</A></DIV>
<DIV><B>Subject:</B> [strongSwan] Authentication against Active 
Directory?</DIV></DIV></DIV>
<DIV>
<DIV> </DIV>
<DIV>Authenticating users against an Active Directory or Windows domain is </DIV>
<DIV>still not possible? Or maybe via a workaround like adding a linux samba </DIV>
<DIV>server to a domain?</DIV>
<DIV> </DIV>
<DIV>https://wiki.strongswan.org/issues/2320</DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV> </DIV></DIV></BODY></HTML>