Sign пароль входа не проходит аутентификацию Windows NPS Radius против Sonicwall SRA
У нас есть сервер Sonicwall SRA, настроенный для аутентификации пользователей с помощью RADIUS на сервере Windows NPS, работающем под управлением Windows Server 2012 R2.
Все работает отлично, КРОМЕ, когда пароли содержат символ "£".
Согласно спецификации RADIUS на стр. 24 поле пароля
содержит 10646 символов в кодировке UTF-8, а строка содержит 8-битные двоичные данные
Я нашел сайт, который определяет знак фунта как
0xC2 0xA3 (c2a3)
Я взломал довольно уродливый скрипт на Perl для реализации шифрования паролей RADIUS для коротких паролей (<= 16 октетов) с использованием простого хеширования MD5 и XORing (я не эксперт по Perl, поэтому я знаю, что это не красиво!)
#! /usr/bin/perl -w
use 5.010;
use Digest::MD5 qw(md5 md5_hex md5_base64);
use MIME::Base64;
use Carp qw/croak/;
use List::Util qw/max/;
$secret = "verysecret";
$authenticator = '5354ff6a10cec708f2da74a8b268b98d';
$pwd = "££££££££";
$pwdhex = $pwd;
# Convert password to a Hex string
$pwdhex =~ s/(.)/sprintf("%02x",ord($1))/eg;
print "Password in HEX = " .$pwdhex . "\n";
print "Password in ASCII " .$pwd . "\n";
# Convert RA from Hex string into bytes
$authenticator =~ s/([a-fA-F0-9][a-fA-F0-9])/chr(hex($1))/eg;
# Concatenante the secret and authenticator then MD5 them
$md5input = $secret . $authenticator;
$md5 = md5($md5input);
$md5hex = $md5;
$md5hex =~ s/(.)/sprintf("%02x",ord($1))/eg;
print "Secret + RA (MD5) " . $md5hex . "\n";
state $encryptedpassword = $md5 ^ $pwd;
$encryptedpassword =~ s/(.)/sprintf("%02x",ord($1))/eg;
print "Computed Encrypted Password = " . $encryptedpassword . "\n";
Используя сетевую трассировку трафика RADIUS, я смог показать, что пароль правильно шифровался с использованием c2a3 для каждого знака фунта.
В следующий раз я собирался поднять заявку в Microsoft, поскольку это похоже на проблему в их реализации Radius-сервера в NPS, но я решил сначала опубликовать эту довольно интересную головоломку на случай, если кто-нибудь увидит что-то подобное.