Marco Gaiarin ha scritto il 12/02/2016 alle 14:19: >> quindi se una macchina è nel dominio già si può autenticare? Molto >> interessante, non sapevo nemmeno fosse possibile... > > Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un > po' meglio... grazie al tuo aiuto sono riuscito a configurare il server freeradius per l'autenticazione degli utenti tramite winbind.
Ora stavo cercando di utilizzare i tuoi consigli per permettere l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata tramite ldap. Ho quindi installato freeradius-ldap, configurato il modulo ldap: > root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap > ldap { > server = "servercsa.csaricerche.com" > basedn = "dc=directory,dc=nh" > base_filter = > "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))" > filter = "(uid=%{tolower:%{mschap:User-Name}})" > ldap_connections_number = 5 > max_uses = 0 > timeout = 4 > timelimit = 3 > net_timeout = 1 > tls { > start_tls = no > } > dictionary_mapping = ${confdir}/ldap.attrmap > edir_account_policy_check = no > groupname_attribute = cn > groupmembership_filter = > "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))" > set_auth_type = no > keepalive { > idle = 60 > probes = 3 > interval = 3 > } > } Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella sezione authorize ma non authenticate ed infine nel file users ho aggiunto > DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn" > DEFAULT Service-Type == Framed-User, Auth-Type := Reject > Reply-Message = "Gruppo non autorizzato" Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn. Nei log di freeradius relativamente ad ldap compare soltanto: > [ldap] performing user authorization for psala > [ldap] expand: %{mschap:User-Name} -> psala > [ldap] expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala) > [ldap] expand: dc=directory,dc=nh -> dc=directory,dc=nh > [ldap] ldap_get_conn: Checking Id: 0 > [ldap] ldap_get_conn: Got Id: 0 > [ldap] attempting LDAP reconnection > [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0 > [ldap] bind as / to servercsa.csaricerche.com:389 > [ldap] waiting for bind result ... > [ldap] Bind was successful > [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala) > [ldap] No default NMAS login sequence > [ldap] looking for check items in directory... > [ldap] looking for reply items in directory... > WARNING: No "known good" password was found in LDAP. Are you sure that the > user is configured correctly? > [ldap] ldap_release_conn: Release Id: 0 > ++[ldap] = ok mentre speravo comparisse qualcosa riguardo agli Ldap-Group... se qualcuno ha qualche idea... Mille grazie Piviul