在 FreeRadius、samba winbind、XCA w/ ECDSA 证书、Active Directory 和 Ubiquiti Unifi 一起协作之后,我感到很开心。
下一个问题是,ActiveDirectory 中的任何有效帐户目前都将进行身份验证。如何将其限制为特定 AD 组的成员?
我想到过的一个糟糕的方法是在 post-auth 模块中执行一个快速进行 LDAP 搜索的 bash 脚本。这会带来什么不好的事情吗?
编辑
以下有一份指南可帮助您完成所有操作!https://gist.github.com/exabrial/368c279aad65cefd8c5f
答案1
目前,您需要使用rlm_ldap
(这比 bash 脚本快得多)。我们已经讨论了公开 winbind 的 API 以进行组查找,但您需要使用 Samba 3.2.1 和 FreeRADIUS v3.1.x 版本才能利用已开发的任何功能。
我将让您自己查看(并完成),mods-available/ldap
因为配置文件的文档非常齐全。将其定制到 LDAP 服务器后,创建从 到 的符号链接mods-available/ldap
以mods-enabled/ldap
启用该模块。
要执行组查找,您需要将LDAP-Group
属性与值进行比较,然后决定拒绝该用户。
就像是:
if (LDAP-Group != 'my_group) {
reject
}
...内部隧道虚拟服务器将会工作。