man/man5/rlm_mschap.5

   1 .\"     # DS - begin display
   2 .de DS
   3 .RS
   4 .nf
   5 .sp
   6 ..
   7 .\"     # DE - end display
   8 .de DE
   9 .fi
  10 .RE
  11 .sp
  12 ..
  13 .TH rlm_mschap 5 "13 March 2004" "" "FreeRADIUS Module"
  14 .SH NAME
  15 rlm_mschap \- FreeRADIUS Module
  16 .SH DESCRIPTION
  17 The \fIrlm_mschap\fP module provides MS-CHAP and MS-CHAPv2
  18 authentication support.
  19 .PP
  20 This module validates a user with MS-CHAP or MS-CHAPv2
  21 authentication.
  22 If called in Authorize, it will look for MS-CHAP Challenge/Response
  23 attributes in the Acess-Request and adds an Auth-Type
  24 attribute set to MS-CHAP in the Config-Items list unless
  25 Auth-Type has already set.
  26 .PP
  27 The module can authenticate the MS-CHAP session via plain-text
  28 passwords (User-Password attribute), or NT passwords (NT-Password
  29 attribute).  The module cannot perform authentication against an NT
  30 domain.
  31 .PP
  32 The module also enforces the SMB-Account-Ctrl attribute.  See the
  33 Samba documentation for the meaning of SMB account control.  The
  34 module does not read Samba password files.  Instead, the fIrlm_passwd\fP
  35 module can be used to read a Samba password file, and supply an
  36 NT-Password attribute which this module can use.
  37 .PP
  38 The main configuration items to be aware of are:
  39 .IP authtype
  40 This is the string used to set the authtype.  Normally it should be
  41 left to the default value of MS-CHAP.
  42 .IP use_mppe
  43 Unless this is set to 'no', FreeRADIUS will add MS-CHAP-MPPE-Keys for
  44 MS-CHAPv1 and MS-MPPE-Recv-Key/MS-MPPE-Send-Key for MS-CHAPv2.  The
  45 default is 'yes'.
  46 .IP require_encryption
  47 If MPPE is enabled, setting this attribute to 'yes' will cause the
  48 MS-MPPE-Encryption-Policy attribute to be set to require encryption.
  49 The default is 'no'.
  50 .IP require_strong
  51 If MPPE is enabled, setting this attribute to 'yes' will cause the
  52 MS-MPPE-Encryption-Types attribute to be set to require a 128 bit key.
  53 The default is 'no'.
  54 .IP with_ntdomain_hack
  55 Windows clients send User-Name in the form of "DOMAIN\\User", but send the
  56 challenge/response based only on the User portion.  Setting this value
  57 to yes, enables a work-around for this error.  The default is 'no'.
  58 .PP
  59 .SH CONFIGURATION
  60 .DS
  61 modules {
  62   ...
  63 .br
  64   mschap {
  65 .br
  66         authtype = MS-CHAP
  67 .br
  68         use_mppe = yes
  69 .br
  70   }
  71 .br
  72   ...
  73 .br
  74 }
  75 .br
  76  ...
  77 .br
  78 authorize {
  79   ...
  80 .br
  81   mschap
  82 .br
  83   ...
  84 .br
  85 }
  86  ...
  87 .br
  88 authenticate {
  89   ...
  90 .br
  91   mschap
  92 .br
  93   ...
  94 .br
  95 }
  96 .DE
  97 .PP
  98 .SH SECTIONS
  99 .BR authorization,
 100 .BR authentication
 101 .PP
 102 .SH FILES
 103 .I /etc/raddb/radiusd.conf
 104 .PP
 105 .SH "SEE ALSO"
 106 .BR radiusd (8),
 107 .BR radiusd.conf (5)
 108 .SH AUTHOR
 109 Chris Parker, cparker@segv.org
 110