forum.opennet.ru - "freeradius проверка группы в AD" (4)

"freeradius проверка группы в AD"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"freeradius проверка группы в AD"	+/–
Сообщение от Aleks305 (ok), 03-Сен-14, 17:43
Друзья, приветствую. На ubuntu из пакетов установлен freeradius, интегрирован с контроллером домена http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... по этой инструкции. Пользователи аутентифицируются, ок. Но нужно разрешать аутентификацию только с определенной группы. Насколько я понимаю, это можно сделать через LDAP. Забил следующий конфиг в modules/ldap: ldap { server = "lf-dc-02.len.ru" identity = "CN=cisco_LDAP,CN=Users,DC=len,DC=ru" basedn = "CN=Users,DC=len,DC=ru" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no groupname_attribute = cn groupmembership_filter = "(\|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))" groupmembership_attribute = WirellesUsers В users добавил строку DEFAULT LDAP-Group != "WirelessUsers", Auth-Type := Reject Но в такой конфигурации все пользователи аутентифицируются независимо от группы. Версия Ubuntu 14.04.1 LTS Спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

gt оверквотинг удален Пробовал также засунуть в конфиг mschap --require-member, Aleks305 (ok), 17:57 , 03-Сен-14, (1)

Зачем придумывать велосипед Используйте встроенный, в винду, радиус Не стоит п, rusadmin (ok), 10:12 , 04-Сен-14, (2) –1

Спасибо, но к сожалению это пока невозможно, Aleks305 (ok), 11:12 , 04-Сен-14, (3)

Приветствую Получилось решить данную задачу Тоже требуется на freeradius выполни, Kovrevskii (ok), 01:21 , 17-Дек-22, (4)

Сообщения [Сортировка по времени | RSS]

1. "freeradius проверка группы в AD" +/–

Сообщение от Aleks305 (ok), 03-Сен-14, 17:57

>[оверквотинг удален]
>         dictionary_mapping = ${confdir}/ldap.attrmap
>         edir_account_policy_check = no
>         groupname_attribute = cn
>         groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))"
>         groupmembership_attribute = WirellesUsers
> В users добавил строку
> DEFAULT LDAP-Group != "WirelessUsers", Auth-Type := Reject
> Но в такой конфигурации все пользователи аутентифицируются независимо от группы.
> Версия Ubuntu 14.04.1 LTS
> Спасибо!
Пробовал также засунуть в конфиг mschap
--require-membership-of='s-1-5-21-241991751-2423211274-3836920987-1626'
- не работает.
Из консоли ntlm_auth работает с этой опцией.

Ответить | Правка | Наверх | Cообщить модератору

2. "freeradius проверка группы в AD" –1 +/–

Сообщение от rusadmin (ok), 04-Сен-14, 10:12

Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить точки отказа

Ответить | Правка | Наверх | Cообщить модератору

3. "freeradius проверка группы в AD" +/–

Сообщение от Aleks305 (ok), 04-Сен-14, 11:12

> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить
> точки отказа
Спасибо, но к сожалению это пока невозможно

Ответить | Правка | Наверх | Cообщить модератору

4. "freeradius проверка группы в AD" +/–

Сообщение от Kovrevskii (ok), 17-Дек-22, 01:21

>> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить
>> точки отказа
> Спасибо, но к сожалению это пока невозможно
Приветствую!
Получилось решить данную задачу?
Тоже требуется на freeradius выполнить

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "freeradius проверка группы в AD"	+/–
Сообщение от Aleks305 (ok), 03-Сен-14, 17:57
>[оверквотинг удален] > dictionary_mapping = ${confdir}/ldap.attrmap > edir_account_policy_check = no > groupname_attribute = cn > groupmembership_filter = "(\|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn})))" > groupmembership_attribute = WirellesUsers > В users добавил строку > DEFAULT LDAP-Group != "WirelessUsers", Auth-Type := Reject > Но в такой конфигурации все пользователи аутентифицируются независимо от группы. > Версия Ubuntu 14.04.1 LTS > Спасибо! Пробовал также засунуть в конфиг mschap --require-membership-of='s-1-5-21-241991751-2423211274-3836920987-1626' - не работает. Из консоли ntlm_auth работает с этой опцией.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "freeradius проверка группы в AD"	–1 +/–
	Сообщение от rusadmin (ok), 04-Сен-14, 10:12
	Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить точки отказа
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "freeradius проверка группы в AD"	+/–
	Сообщение от Aleks305 (ok), 04-Сен-14, 11:12
	> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить > точки отказа Спасибо, но к сожалению это пока невозможно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "freeradius проверка группы в AD"	+/–
	Сообщение от Kovrevskii (ok), 17-Дек-22, 01:21
	>> Зачем придумывать велосипед. Используйте встроенный, в винду, радиус. Не стоит плодить >> точки отказа > Спасибо, но к сожалению это пока невозможно Приветствую! Получилось решить данную задачу? Тоже требуется на freeradius выполнить
	Ответить \| Правка \| Наверх \| Cообщить модератору