Inainte de toate, trebuie radius pentru ca numai asta stiu
echipamentele pe care se face implementarea.
Descrierea problemei.
=====================
Am niste multi useri intr-un LDAP pe care trebuie sa-i autentific
la niste echipamente proprietare care vorbesc doar RADIUS. Configurarea
lui radius (freeradius) cu LDAP nu a fost o problema, evident.
Insa pentru a face si o usoara separare de privilegii pe acele
echipamente trebuie sa aduc un atribut din LDAP in functie de care sa
setez o valoare a unui item in raspunsul catre clientul radius.
Incercarea de implementare.
===========================
Cel mai simplu a fost sa folosesc separarile de grup deja
existente in LDAP, asa ca am luat gidNumber. Asadar am adaugat aceste
linii in fisierele respective:
/etc/raddb/ldap.attrmap:checkItem Group-ID
gidNumber
/etc/raddb/dictionary:ATTRIBUTE Group-ID 3000 integer
In /etc/raddb/users am ceva de genul:
DEFAULT Auth-Type = LDAP
Service-Type = Login,
TRCTS-Type = Idk,
Fall-Through = Yes
DEFAULT Group-ID == 100
TRCTS-Type := Dev
DEFAULT Group-ID == 101
TRCTS-Type := Otl
...samd.
The FAIL
========
Cel putin prima parte pare sa functioneze. La o incercare de
autentificare radius spune ca:
rlm_ldap: Adding gidNumber as Group-ID, value 100 & op=21
...Insa valorile TRCTS-Type ramin cele setate default si vad asta
in raspuns:
Sending Access-Request of id 213 to 127.0.0.1 port 1812
User-Name = "tmotester"
User-Password = "12346969"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=213, length=38
Service-Type = Login-User
TRCTS-Type = Idk
Asadar, ce gresesc sau ce nu fac corect/complet in abordarea de
mai sus? Sau cum pot aduce altfel gidNumber din LDAP in radius intr-un
checkItem in functie de care sa setez valoarea unui replyItem cunoscut de
echipamentele cu pricina?
--
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
