配置 Freeradius 以针对多个 LDAP 组检查连接用户

配置 Freeradius 以针对多个 LDAP 组检查连接用户

我正在将 Cisco ASA 设置为客户端 VPN 服务器。该设备依靠 freeradius 对用户进行身份验证。Freeradius 又配置为查询 OpenLDAP。

modules/ldap 文件已配置为使用以下过滤器检查组所有权(使用属性 memberUid 在每个组下列出成员):

groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"

文件 freeradius/users 有以下语句:

DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject

我想使用多重成员资格检查,例如,仅允许属于一组组的用户。显然,如果指定多个组,freeradius 会失败。

我正在寻找一种列出多个组的方法。

freeradius和openldap使用的操作系统是ubuntu 10.04。

答案1

我找到了办法!freeradius/users 文件必须按如下方式配置:

DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."

其余部分相同。经测试,工作正常!

相关内容