URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91523
[ Назад ]

Исходное сообщение
"Wireless Remote Access Policy, аналог функционала windows 2003"
Отправлено niklep , 04-Май-11 15:53

Приветствую. Есть вопрос: каким образом реализовать в FreeRADIUS аналог Remote Access Policies из Internet Authentication Service (RADIUS из Windows Server 2003).
Опишу для чего это надо. В каталоге LDAP есть 2 группы. Названия групп и их состав указаны:
group: vlan1
users: user1, user2
group: vlan2
users: user2
Пользователи user1 и user2 также хранятся в LDAP.
Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит ли он группе, которой позволено находиться в запрашиваемом vlan'е.
Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не состоит в группе vlan2, поэтому получает Reject.
В какую сторону копать? Вроде и в гугле не забанен, но ничего дельного найти не могу.

Содержание

Wireless Remote Access Policy, аналог функционала windows 2003,Grey1, 16:49 , 04-Май-11
- Wireless Remote Access Policy, аналог функционала windows 2003,niklep, 15:56 , 11-Май-11

Сообщения в этом обсуждении

"Wireless Remote Access Policy, аналог функционала windows 2003"
Отправлено Grey1 , 04-Май-11 16:49

>[оверквотинг удален]
> group: vlan2
> users: user2
> Пользователи user1 и user2 также хранятся в LDAP.
> Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID
> свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит
> ли он группе, которой позволено находиться в запрашиваемом vlan'е.
> Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не
> состоит в группе vlan2, поэтому получает Reject.
> В какую сторону копать? Вроде и в гугле не забанен, но ничего
> дельного найти не могу.
а ваш radius при подключении видит с какой станции происходит подключение? (IP или MAC)
... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC

"Wireless Remote Access Policy, аналог функционала windows 2003"
Отправлено niklep , 11-Май-11 15:56

> ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC
Здесь важна именно реализация через группы, а не "просто сделать как-нибудь".
Вообще, конфиги должны быть примерно такие:
В modules/ldap писать:
> groupname_attribute = cn
> groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))
А в users:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
> Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject
> Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP
Соответственно, если группа всего одна, то достаточно прописать:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject