<div dir="ltr">Hi All,<div><br></div><div>We have a topo with 3x IPA servers + freeradius.</div><div><br></div><div>Freeradius is being used to do mschap with wifi APs. Freeradius connects over ldap to IPA.</div><div><br></div><div>In order to do the challange-response thing, freeipa has AllowNTHash enabled. </div><div><br></div><div>So I wanted to enable 2FA/OTP but leave the NTHash as is for wifi auth.</div><div><br></div><div>In the moment I disallow Password auth for a user and enable OTP the wifi auth stopps working, but the hash clearly stays in ldap.</div><div><br></div><div>The goal is to stay with password on freeradius but for everything else: kerberos/sssd related use password+code.</div><div><br></div><div>How can I disable password login for user but still make freeradius work with ldap, so when it asks for users hash it gets one.</div><div><br></div><div>Freeradius ldap mod snippet:</div><div>"base_dn = "cn=users,cn=accounts,dc=cs,dc=com""</div><div><br></div><div>Thank You</div><div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Best regards</div><div dir="ltr"><br><div><span style="font-size:12.8px">Maciej Drobniuch</span></div><div>Network Security Engineer</div><div><div style="font-size:small"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div style="font-size:12.8px">Collective-Sense,LLC</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div></div>