Назад | Перейти на главную страницу

Как с помощью freeradius и PEAP-MSCHAP ограничить подключение одной группой?

Мне хочется прыгать вверх и вниз после того, как я общаюсь вместе с FreeRadius, samba winbind, XCA с сертификатами ECDSA, Active Directory и Ubiquiti Unifi.

Следующая проблема, любая действительная учетная запись в ActiveDirectory в настоящее время будет проходить аутентификацию. Как мне ограничить это членами определенной группы AD?

Один ужасный способ, о котором я подумал, заключался в том, что модуль post-auth выполнял сценарий bash, который выполняет быстрый поиск LDAP. Может ли из этого случиться что-нибудь плохое?

РЕДАКТИРОВАТЬ

Вот руководство, как заставить все это работать! https://gist.github.com/exabrial/368c279aad65cefd8c5f

На данный момент вам нужно использовать rlm_ldap (что будет значительно быстрее, чем сценарий bash). Мы обсудили предоставление API-интерфейсов winbind для группового поиска, но вам нужно будет использовать Samba 3.2.1 и сборку FreeRADIUS v3.1.x, чтобы воспользоваться всеми функциями, которые были разработаны.

Я оставлю вас просмотреть (и завершить) mods-available/ldap поскольку файл конфигурации довольно хорошо документирован. После того, как вы настроили его для вашего LDAP-сервера, создайте символическую ссылку из mods-available/ldap к mods-enabled/ldap чтобы включить модуль.

Чтобы выполнить групповой поиск, вам необходимо сравнить LDAP-Group атрибут со значением, а затем принять решение отклонить пользователя.

Что-то вроде:

if (LDAP-Group != 'my_group) {
    reject
}

Во внутреннем туннеле будет работать виртуальный сервер.