Вопросы Теги

Установка переменной в зависимости от IP-АДРЕСА NAS в Freeradius

Установка

Нам в настоящее время использовали сервер Freeradius для аутентификации наших пользователей Wi-Fi против нашего сервера Active Directory. Ссылка между Freeradius и Active Directory сделана Winbind.

Для пользователя, чтобы смочь получить авторизацию, это должно быть, принадлежат группе в Каталоге Activer. Это сделано путем добавления аргумента команде ntlm_auth.

Чего мы пытаемся достигнуть

Мы теперь добавляем 802.1X к нашим подключаемым с помощью кабеля сетям и хотели бы снова использовать существующий сервер Радиуса для аутентификации против того же Active Directory.

Все будет тем же кроме авторизации, должен будет быть на основе того, принадлежит ли пользователь другому, чем та из сетей Wifi.

Что мы уже попробовали

Я считал много вещей на freeradius в документации и видел, что возможно использовать условные выражения и переменные. Мой план поэтому состоял в том, чтобы поместить переменную в команду ntlm_auth, которая будет содержать группу SID (как предложено в списках рассылки Freeradius). SID группы зависел бы от IP сетевого устройства, которое должно содержаться в "IP-АДРЕСЕ NAS".

Это должно просто быть случаем записи простого условного оператора и установки переменной. Тем не менее, я не смог сделать это, поскольку Freeradius не запустится каждый раз, я пытаюсь добавить условное выражение к конфигурационным файлам.

Таким образом, мои вопросы:

  • Как я устанавливаю переменную в функции IP-АДРЕСА NAS?

  • В которых файлах может использоваться такой синтаксис?

0
задан 6 May 2014 в 16:26
1 ответ

Unlang (условный язык, на который вы ссылаетесь) можно использовать только в подразделах виртуальных серверов (блоки server {} ).

Расширения, подобные % {foo} , могут иногда использоваться в элементах конфигурации модуля, таких как ntlm_auth , но это зависит от элемента конфигурации. Примеры в файлах конфигурации модуля обычно подсказывают, можно ли использовать расширения.

Файлы конфигурации виртуального сервера можно найти в / etc / raddb / sites-available или ] / etc / freeradius / sites-available .

Самый простой способ добиться того, о чем вы просите, - это добавить дополнительную пару конфигураций в различные разделы клиентов вместо того, чтобы основывать что-то на NAS-IP -Address.

Например: 

client my_client {
    ipaddr = 127.0.0.1
    secret = testing123
    ad_group = <group>
}

Затем вы можете использовать расширение % {client: ad_group} , чтобы передать значение ad_group в аргументах ntlm_auth .

0
ответ дан 5 December 2019 в 14:01

Теги

Похожие вопросы