С freeradius и PEAP-MSCHAP, как можно ограничить подключение к одной группе?

Question

С freeradius и PEAP-MSCHAP, как можно ограничить подключение к одной группе?

Мне хочется прыгать вверх и вниз после того, как все FreeRadius, winbind от samba, сертификаты XCA w/ ECDSA, Active Directory и Ubiquiti Unifi разговаривают вместе.

Следующая проблема, любая действительная учетная запись в ActiveDirectory будет в настоящее время аутентифицироваться. Как мне ограничить это членами определенной группы AD?

Один ужасный способ, о котором я думал, был в модуле post-auth, выполняющем скрипт bash, который выполняет быстрый поиск LDAP. Может ли что-то плохое случиться с этим?

РЕДАКТИРОВАТЬ

Вот руководство, чтобы заставить все это работать! https://gist.github.com/exabrial/368c279aad65cefd8c5f

1

active-directory ldap freeradius peap

Источник

Jonathan S. Fisher 24 ноя '15 в 21:44

1 ответ

Решение

Другие вопросы по тегам active-directory ldap freeradius peap

Arran Cudbard-Bell 24 ноя '15 в 23:50 2015-11-24 23:50 · Accepted Answer · 2015-11-24 23:50

На данный момент вам нужно использовать rlm_ldap (который будет значительно быстрее, чем скрипт bash). Мы обсудили предоставление API-интерфейсов winbind для группового поиска, но вам нужно будет использовать Samba 3.2.1 и сборку FreeRADIUS v3.1.x, чтобы воспользоваться всеми разработанными функциями.

Я оставлю вас, чтобы просмотреть (и завершить) mods-available/ldap поскольку файл конфигурации довольно хорошо задокументирован. После того, как вы настроите его на свой сервер LDAP, создайте символическую ссылку из mods-available/ldap в mods-enabled/ldap включить модуль.

Для выполнения группового поиска вам нужно сравнить LDAP-Group атрибут со значением, а затем принять решение отклонить пользователя.

Что-то вроде:

if (LDAP-Group != 'my_group) {
    reject
}

Во внутреннем туннеле будет работать виртуальный сервер.