Como posso configurar o openLDAP para procurar userPassword via FreeRadius?

Question

Como posso configurar o openLDAP para procurar userPassword via FreeRadius?

#1 resposta do (0 votos)

1

Estou executando o Ubuntu 12.04 e o OpenLDAP 2.4.28-1.1ubuntu4.5. Eu tenho usuários preenchidos no LDAP com o atributo userPassword sendo um hash {SHA1}. Os usuários podem fazer o login por SSH e autenticar aplicativos da Web.

Agora, gostaria de adicionar a autenticação Radius (de um servidor OTP) ao servidor LDAP como um mecanismo adicional. Dessa forma, os usuários poderiam autenticar através da senha de uso único do Radius, mas todos os atributos POSIX seriam retirados do LDAP. Isso é possível? Qual é o mecanismo chamado?

authentication openldap linux freeradius

por Server Fault 15.09.2015 / 17:32

1 resposta

Tags authentication openldap linux freeradius

Dell PowerConnect 5324 ignorando DHCPOFFER Não é possível executar o gpupdate depois de mudar de domínio

score 0 · Accepted Answer

O Openldap 2.4 suporta a autenticação pass-through da senha SASL ( link ).

Este recurso permite delegar o processo de autenticação ao daemon saslauthd e mantém os outros atributos no openldap.

Este recurso requer a substituição do valor real userPassword por uma string "{SASL} username @ realm", portanto, você não pode usar a senha SHA1 e a autenticação SASL para o mesmo usuário. Além disso, o SASL pode usar o PAM como método de autenticação backend.

O PAM possui um módulo que permite usar autenticação de raio livre. A cadeia completa de autenticação será:

Servidor OpenLDAP - > saslauthd - > módulo pam com raio - > Servidor Freeradius

Existem duas outras maneiras de resolver esse problema:

se o seu aplicativo da Web oferecer suporte à autenticação do PAM, crie um módulo pam que use a autenticação freeradius e ldap
Se a sua aplicação web suporta autenticação Radius configure um freeradius com um OpenLDAP como backend

O SSH suporta a autenticação PAM e Radius (a última usando um módulo pam).