mech_eap/README.samba4

   1 Notes on using Moonshot with Samba4.
   2
   3 Samba
   4 -----
   5
   6 * Download Samba4 and apply patches for mechanism agnosticism.
   7 * Join Samba as a member server or domain controller (only tested former):
   8
   9 Shibboleth
  10 ----------
  11
  12 * Add to attribute-map.xml:
  13
  14     <GSSAPIAttribute name="urn:ietf:params:gss-eap:radius-avp urn:x-radius:1679163525"
  15                      id="urn:mspac:" binary="true"/>
  16
  17 FreeRADIUS
  18 ----------
  19
  20 Install the rlm_mspac module and configure per below.
  21
  22 * Create /usr/local/etc/raddb/modules/mspac with the following:
  23
  24     mspac {
  25         keytab = /etc/krb5.keytab
  26         spn = host/host.fqdn@KERBEROS.REALM
  27     }
  28
  29 * Add mspac to instantiate in radiusd.conf
  30 * Add mspac to post-auth in sites-enabled/inner-tunnel
  31
  32 You will need to have a TGT for the host service principal before starting
  33 radiusd. It's possible to extract the password by editing secrets.ldb, which
  34 you can put in a keytab.
  35
  36 Testing
  37 -------
  38
  39 The Samba server doesn't require any specific command line arguments, although
  40 on OS X it was necessary to start it with -M single to function under gdb.
  41
  42 For the client, the mechanism can be specified on the command line:
  43
  44 smbclient --password samba --mechanism 1.3.6.1.4.1.5322.22.1.18 '\\host\share'".
  45
  46 There is no Moonshot SSPI implementation as yet, so it is not possible to test
  47 with a Windows client.