freeIPA + freeRADIUSでmschap
freeRADIUSはプレーンパスワードを/etc/raddb/usersに書くか、ldapならldap属性に書かないと、mschapに対応できないぜ!なぜならハッシュに対応できないからな!
みたいな記述をさんざん見た後に
おお!あんじゃない!ipa serverことfreeIPAで簡単にできるとのこと。
と思ってルンルン気分でブログに記載の通りにやったけどできねぇ!!
ipa-adtrust-installを実行しても、ipaNTHashという属性がちゃんと追加されない。
そのあとユーザパスワード変更しても駄目。
ネットで検索してて、丸2日・・・もう無理かなーとか思いつつ、他の視点でごちゃごちゃやってるうちに
yum -y install ipa-client sssd-libwbclient samba samba-client
これを実行した後に再度ipa-adtrust-installして
ユーザパスワードを変更したら行けた。
多分sssd-libwbclientがいいんかな。後で再現性確かめておく。
なお、/usr/share/ipa/ 配下にipa-adtrust-installで使うldifがいっぱいある。
ここにipaNTHash追加もあった。
あとipaNTHashは、ブログで書かれている通りDirectory Managerとかちゃんと
権限もっているアカウントでないと見れないので注意の様子。