URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95758
[ Назад ]

Исходное сообщение
"freeradius проверка группы в AD"
Отправлено Aleks305 , 03-Сен-14 17:43

Друзья, приветствую.
На ubuntu из пакетов установлен freeradius, интегрирован с контроллером домена http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... по этой инструкции. Пользователи аутентифицируются, ок. Но нужно разрешать аутентификацию только с определенной группы.
Насколько я понимаю, это можно сделать через LDAP.
Забил следующий конфиг в modules/ldap:
ldap {
        server = "lf-dc-02.len.ru"
        identity = "CN=cisco_LDAP,CN=Users,DC=len,DC=ru"
        basedn = "CN=Users,DC=len,DC=ru"
        filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
        dictionary_mapping = ${confdir}/ldap.attrmap
        edir_account_policy_check = no
        groupname_attribute = cn
        groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))"
        groupmembership_attribute = WirellesUsers
В users добавил строку
DEFAULT LDAP-Group != "WirelessUsers", Auth-Type := Reject
Но в такой конфигурации все пользователи аутентифицируются независимо от группы.
Версия Ubuntu 14.04.1 LTS
Спасибо!

Содержание

freeradius проверка группы в AD,Aleks305, 17:57 , 03-Сен-14
- freeradius проверка группы в AD,rusadmin, 10:12 , 04-Сен-14
  - freeradius проверка группы в AD,Aleks305, 11:12 , 04-Сен-14
    - freeradius проверка группы в AD,Kovrevskii, 01:21 , 17-Дек-22

Сообщения в этом обсуждении

"freeradius проверка группы в AD"
Отправлено Aleks305 , 03-Сен-14 17:57

>[оверквотинг удален]
>         dictionary_mapping = ${confdir}/ldap.attrmap
>         edir_account_policy_check = no
>         groupname_attribute = cn
>         groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))"
>         groupmembership_attribute = WirellesUsers
> В users добавил строку
> DEFAULT LDAP-Group != "WirelessUsers", Auth-Type := Reject
> Но в такой конфигурации все пользователи аутентифицируются независимо от группы.
> Версия Ubuntu 14.04.1 LTS
> Спасибо!
Пробовал также засунуть в конфиг mschap
--require-membership-of='s-1-5-21-241991751-2423211274-3836920987-1626'
- не работает.
Из консоли ntlm_auth работает с этой опцией.

"freeradius проверка группы в AD"
Отправлено rusadmin , 04-Сен-14 10:12

Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить точки отказа

"freeradius проверка группы в AD"
Отправлено Aleks305 , 04-Сен-14 11:12

> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить
> точки отказа
Спасибо, но к сожалению это пока невозможно

"freeradius проверка группы в AD"
Отправлено Kovrevskii , 17-Дек-22 01:21

>> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить
>> точки отказа
> Спасибо, но к сожалению это пока невозможно
Приветствую!
Получилось решить данную задачу?
Тоже требуется на freeradius выполнить