Назад | Перейти на главную страницу

FreeRadius + Active Directory + Google Authenticator

У меня FreeRadius 3.0.13 установлен на CentOS 7.3, который также имеет SSSD 1.14.0, который используется для связи с нашим контроллером домена Windows 2012. Мы можем аутентифицироваться с помощью AD через радиус. У нас также установлен аутентификатор Google на этом сервере Radius. Мы можем подключиться к нашему серверу openvpn и пройти аутентификацию с помощью AD, и Google - это хорошо, здесь нет проблем.

Однако у меня возникают проблемы с попыткой разрешить аутентификацию только пользователям из определенной группы AD. Я использую модуль pam_sss для аутентификации в AD.

Это мой конфиг pam.d / radius

#%PAM-1.0
auth       requisite    pam_google_authenticator.so forward_pass
auth       required     pam_sss.so use_first_pass
account    required     pam_nologin.so
account    include      password-auth
session    include      password-auth

Вот моя конфигурация raddb / users

    DEFAULT Auth-Type := PAM
    #DEFAULT Group == "remoteaccess", Auth-Type := Reject
    #        Reply-Message = "You are a member of the Correct remoteaccess Group"

    DEFAULT Framed-Protocol == PPP
            Framed-Protocol = PPP,
            Framed-Compression = Van-Jacobson-TCP-IP
    DEFAULT Hint == "CSLIP"
            Framed-Protocol = SLIP,
            Framed-Compression = Van-Jacobson-TCP-IP

А это моя конфигурация raddb / default

server default {
listen {
        type = auth
        ipaddr = *
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 300
        }
}
listen {
        ipaddr = *
        port = 0
        type = acct

        limit {
                idle_timeout = 300
        }
}
listen {
        type = auth
        ipv6addr = ::   # any.  ::1 == localhost
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 300
        }
}
listen {
        ipv6addr = ::
        port = 0
        type = acct
        limit {
        }
}
authorize {
        filter_username
        preprocess
        chap
        mschap
        digest
        suffix
        eap {
                ok = return
        }
        files
        -sql
        -ldap
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        pam
        eap
}
preacct {
        preprocess
        acct_unique
        suffix
        files
}
accounting {
        detail
        unix
        -sql
        exec
        attr_filter.accounting_response
}
session {
}
post-auth {
        update {
                &reply: += &session-state:
        }
        -sql
        exec
        remove_reply_message_if_eap
        Post-Auth-Type REJECT {
                -sql
                attr_filter.access_reject
                eap
                remove_reply_message_if_eap
        }
        Post-Auth-Type Challenge {
        }

}
pre-proxy {
}
post-proxy {
        eap
}
}

А вот конфиг raddb / radius

prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
name = radiusd
confdir = ${raddbdir}
modconfdir = ${confdir}/mods-config
certdir = ${confdir}/certs
cadir   = ${confdir}/certs
run_dir = ${localstatedir}/run/${name}
db_dir = ${localstatedir}/lib/radiusd
debug_level = 9
libdir = /usr/lib64/freeradius
pidfile = ${run_dir}/${name}.pid
correct_escapes = true
max_request_time = 30
cleanup_delay = 5
max_requests = 16384
hostname_lookups = no
log {
        destination = files
        colourise = yes
        file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = yes
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
        msg_denied = "You are already logged in - access denied"
}
checkrad = ${sbindir}/checkrad
security {
        user = root
        group = root
        allow_core_dumps = no
        max_attributes = 200
        reject_delay = 1
        status_server = yes
}
proxy_requests  = yes
$INCLUDE proxy.conf
$INCLUDE clients.conf
thread pool {
        start_servers = 5
        max_servers = 32
        min_spare_servers = 3
        max_spare_servers = 10
        max_requests_per_server = 0
        auto_limit_acct = no
}
modules {
        $INCLUDE mods-enabled/
}

instantiate {
}

policy {
        $INCLUDE policy.d/
}
$INCLUDE sites-enabled/

У кого-нибудь есть идеи о том, как проверить группу AD и отклонить ее в зависимости от того, в какой группе находится пользователь?

У нас аналогичная настройка, но без аутентификации Google. Ограничения группы AD в freeradius можно настроить следующим образом:

В users файл содержит:

DEFAULT Ldap-Group != "vpn", Auth-Type := Reject

В modules/ldap файл содержит:

ldap {
    server = 127.0.0.1
    identity = "cn=ad-freerad,cn=System,dc=kiwi,dc=intern"
    password = "SECRET"
    basedn = "dc=kiwi,dc=intern"
    filter = "(&(objectClass=USER)(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}}))"
    ldap_connections_number = 5
    max_uses = 0
    port = 389
    timeout = 4
    timelimit = 3
    net_timeout = 1
    chase_referrals = no
    rebind = no
    tls {
        start_tls = no
    }
    dictionary_mapping = ${confdir}/ldap.attrmap
    password_attribute = userPassword
    groupname_attribute = cn
    groupmembership_filter = "(&(objectclass=GROUP)(member=%{control:Ldap-UserDn}))"
    set_auth_type = no
    keepalive {
        idle = 60
        probes = 3
        interval = 3
    }
}

Это гарантирует, что radius использует модуль ldap для проверки групп пользователя, и запрос будет отклонен, если пользователь не является членом группы. vpn.