https://www.opennet.ru/openforum/vsluhforumID1/91523.html Приветствую. Есть вопрос: каким образом реализовать в FreeRADIUS аналог Remote Access Policies из Internet Authentication Service (RADIUS из Windows Server 2003).<br>Опишу для чего это надо. В каталоге LDAP есть 2 группы. Названия групп и их состав указаны:<br><br>group: vlan1<br>users: user1, user2<br><br>group: vlan2<br>users: user2<br><br>Пользователи user1 и user2 также хранятся в LDAP.<br>Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит ли он группе, которой позволено находиться в запрашиваемом vlan'е.<br>Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не состоит в группе vlan2, поэтому получает Reject.<br><br>В какую сторону копать? Вроде и в гугле не забанен, но ничего дельного найти не могу. <br> https://www.opennet.ru/openforum/vsluhforumID1/91523.html#2 Wed, 11 May 2011 11:56:46 GMT &gt; ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC <br><br>Здесь важна именно реализация через группы, а не "просто сделать как-нибудь".<br>Вообще, конфиги должны быть примерно такие:<br><br>В modules/ldap писать:<br>&gt; groupname_attribute = cn<br>&gt; groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))<br><br>А в users:<br>&gt; DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject<br>&gt; Fall-Through = Yes<br>&gt; DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject<br>&gt; Fall-Through = Yes<br>&gt; DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP<br>&gt; DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP<br><br>Соответственно, если группа всего одна, то достаточно прописать:<br>&gt; DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject https://www.opennet.ru/openforum/vsluhforumID1/91523.html#1 Wed, 04 May 2011 12:49:22 GMT &gt;[оверквотинг удален]<br>&gt; group: vlan2 <br>&gt; users: user2 <br>&gt; Пользователи user1 и user2 также хранятся в LDAP.<br>&gt; Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID <br>&gt; свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит <br>&gt; ли он группе, которой позволено находиться в запрашиваемом vlan'е.<br>&gt; Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не <br>&gt; состоит в группе vlan2, поэтому получает Reject.<br>&gt; В какую сторону копать? Вроде и в гугле не забанен, но ничего <br>&gt; дельного найти не могу.<br><br>а ваш radius при подключении видит с какой станции происходит подключение? (IP или MAC)<br>... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC<br>