Я настраиваю Cisco ASA в качестве клиентского сервера vpn. Устройство полагается на freeradius для аутентификации пользователей. Freeradius, в свою очередь, был настроен для запроса OpenLDAP.
Файл modules / ldap настроен для проверки принадлежности групп с помощью следующего фильтра (члены перечислены под каждой группой с помощью атрибута memberUid):
groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"
В файле freeradius / users есть такая инструкция:
DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject
Я хотел бы использовать несколько проверок членства, например, чтобы разрешить только пользователей, принадлежащих к набору групп. По-видимому, freeradius не работает, если указано более одной группы.
Я ищу способ перечислить более одной группы.
Операционная система, используемая для freeradius и openldap, - ubuntu 10.04.
Я нашел способ! Файл freeradius / users должен быть настроен следующим образом:
DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."
В остальном то же самое. Проверено, работает как положено!