Мне хочется прыгать вверх и вниз после того, как я общаюсь вместе с FreeRadius, samba winbind, XCA с сертификатами ECDSA, Active Directory и Ubiquiti Unifi.
Следующая проблема, любая действительная учетная запись в ActiveDirectory в настоящее время будет проходить аутентификацию. Как мне ограничить это членами определенной группы AD?
Один ужасный способ, о котором я подумал, заключался в том, что модуль post-auth выполнял сценарий bash, который выполняет быстрый поиск LDAP. Может ли из этого случиться что-нибудь плохое?
Вот руководство, как заставить все это работать! https://gist.github.com/exabrial/368c279aad65cefd8c5f
На данный момент вам нужно использовать rlm_ldap
(что будет значительно быстрее, чем сценарий bash). Мы обсудили предоставление API-интерфейсов winbind для группового поиска, но вам нужно будет использовать Samba 3.2.1 и сборку FreeRADIUS v3.1.x, чтобы воспользоваться всеми функциями, которые были разработаны.
Я оставлю вас просмотреть (и завершить) mods-available/ldap
поскольку файл конфигурации довольно хорошо документирован. После того, как вы настроили его для вашего LDAP-сервера, создайте символическую ссылку из mods-available/ldap
к mods-enabled/ldap
чтобы включить модуль.
Чтобы выполнить групповой поиск, вам необходимо сравнить LDAP-Group
атрибут со значением, а затем принять решение отклонить пользователя.
Что-то вроде:
if (LDAP-Group != 'my_group) {
reject
}
Во внутреннем туннеле будет работать виртуальный сервер.