我正在将 Cisco ASA 设置为客户端 VPN 服务器。该设备依靠 freeradius 对用户进行身份验证。Freeradius 又配置为查询 OpenLDAP。
modules/ldap 文件已配置为使用以下过滤器检查组所有权(使用属性 memberUid 在每个组下列出成员):
groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"
文件 freeradius/users 有以下语句:
DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject
我想使用多重成员资格检查,例如,仅允许属于一组组的用户。显然,如果指定多个组,freeradius 会失败。
我正在寻找一种列出多个组的方法。
freeradius和openldap使用的操作系统是ubuntu 10.04。
答案1
我找到了办法!freeradius/users 文件必须按如下方式配置:
DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."
其余部分相同。经测试,工作正常!