web-dev-qa-db-ja.com

複数のLDAPグループに対して接続ユーザーをチェックするようにFreeradiusを構成します

CiscoASAをクライアントVPNサーバーとして設定しています。アプライアンスは、ユーザーの認証をfreeradiusに依存しています。 Freeradiusは、OpenLDAPを照会するように構成されています。

Modules/ldapファイルは、次のフィルターを使用してグループの所有権を確認するように構成されています(メンバーは、属性memberUidを使用して各グループの下にリストされます)。

groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"

ファイルfreeradius/usersには次のステートメントがあります。

DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject

複数のメンバーシップチェックを使用して、たとえば、グループのセットに属するユーザーのみを許可したいと思います。どうやら、複数のグループが指定されている場合、freeradiusは失敗します。

複数のグループを一覧表示する方法を探しています。

Freeradiusとopenldapに使用されるオペレーティングシステムはubuntu10.04です。

cisco-asaopenldapfreeradius
4
spidernik84

私は方法を見つけました! freeradius/usersファイルは次のように構成する必要があります。

DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."

残りは同じです。期待どおりに動作することがテストされました!

2
spidernik84