FreeRADIUS / Active Directory / 计算机身份验证 / 基于 UserDN 的 VLAN

FreeRADIUS / Active Directory / 计算机身份验证 / 基于 UserDN 的 VLAN

我目前正在根据计算机身份验证的组成员身份确定 VLAN/dACL 分配,并希望改为根据计算机的 OU 位置确定 VLAN/dACL 分配。我似乎无法获取 UserDN。如能提供任何有关如何实现此目的的帮助或提示,我将不胜感激。

如何使用 Aruba ClearPass 实现我想要做的事情 https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=20287

我尝试了以下操作,但调试后发现 LDAP-UserDN 为空:

if ( LDAP-UserDN =~ /(.*),OU=IRStaff,OU=Computers,DC=company,DC=net$/ ) {
                                update reply {
                                        Service-Type := "Framed"
                                        Framed-Protocol := "PPP"
                                        Tunnel-Private-Group-Id := "10"
                                        Tunnel-Type := "VLAN"
                                        Tunnel-Medium-Type := "IEEE-802"
                                }
                        }

答案1

在仔细查看了 ldap 模块中的注释之后(我有多个模块来表示多个域)。我对所有模块进行了以下调整:

user_dn = "LDAP-UserDn"user_dn = "${.:instance}-LDAP-UserDn"

之后,我能够根据计算机所在的 OU 确定要使用的 VLAN,并在虚拟服务器的后认证部分中使用以下内容

if ( &control:companynet-ldap-LDAP-UserDn =~ /(.*),OU=IRStaff,OU=Computers,DC=company,DC=net$/ ) {
                                update reply {
                                        Service-Type := "Framed"
                                        Framed-Protocol := "PPP"
                                        Tunnel-Private-Group-Id := "10"
                                        Tunnel-Type := "VLAN"
                                        Tunnel-Medium-Type := "IEEE-802"
                                }

相关内容