Configure o Freeradius para verificar um usuário de conexão em vários grupos LDAP

Question

Configure o Freeradius para verificar um usuário de conexão em vários grupos LDAP

#1 resposta do (2 votos)

4

Estou configurando um Cisco ASA como um servidor vpn cliente. O appliance está contando com o freeradius para autenticar os usuários. O Freeradius, por sua vez, foi configurado para consultar o OpenLDAP.

O arquivo modules / ldap foi configurado para verificar a propriedade dos grupos usando o filtro a seguir (os membros são listados em cada grupo usando o atributo memberUid):

groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"

O arquivo freeradius / users tem esta declaração:

DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject

Gostaria de usar várias verificações de associação, por exemplo, para permitir somente usuários pertencentes a um conjunto de grupos. Aparentemente, o freeradius falha se mais de um grupo for especificado.

Estou procurando uma maneira de listar mais de um grupo.

O sistema operacional usado para o freeradius e o openldap é o ubuntu 10.04.

openldap cisco-asa freeradius

por spidernik84 08.05.2012 / 22:25

1 resposta

Tags openldap cisco-asa freeradius

Qual é o melhor URI de conexão JDBC para instâncias do AWS RDS? O que está lançando todos esses processos rpc.statd?

score 2 · Accepted Answer

Eu encontrei um jeito! O arquivo freeradius / users tem que ser configurado desta forma:

DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."

O resto é o mesmo. Testado para funcionar como esperado!