Wireless Remote Access Policy (аналог функционала windows 2003 в RADIUS)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

niklep
Сообщения: 8
ОС: Arch Linux

Wireless Remote Access Policy

Сообщение niklep »

Приветствую. Есть вопрос: каким образом реализовать в FreeRADIUS аналог Remote Access Policies из Internet Authentication Service (RADIUS из Windows Server 2003).
Опишу для чего это надо. В каталоге LDAP есть 2 группы. Названия групп и их состав указаны:

Код: Выделить всё

group: vlan1
users: user1, user2

Код: Выделить всё

group: vlan2
users: user2

Пользователи user1 и user2 также хранятся в LDAP.
Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит ли он группе, которой позволено находиться в запрашиваемом vlan'е.
Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не состоит в группе vlan2, поэтому получает Reject.

В какую сторону копать? Вроде и в гугле не забанен, но ничего дельного найти не могу.
Спасибо сказали:
BIgAndy
Сообщения: 1923

Re: Wireless Remote Access Policy

Сообщение BIgAndy »

niklep писал(а):
04.05.2011 15:50
(RADIUS из Windows Server 2003)

Free RADIUS для линукса чем не подходит?
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Wireless Remote Access Policy

Сообщение sash-kan »

niklep писал(а):
04.05.2011 15:50
В какую сторону копать?
http://wiki.freeradius.org/Rlm_ldap#Group_Support
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
niklep
Сообщения: 8
ОС: Arch Linux

Re: Wireless Remote Access Policy

Сообщение niklep »

BIgAndy писал(а):
04.05.2011 17:33
niklep писал(а):
04.05.2011 15:50
(RADIUS из Windows Server 2003)

Free RADIUS для линукса чем не подходит?

Читай внимательно. Я на FreeRADUS и собрался это реализовывать.
Спасибо сказали:
niklep
Сообщения: 8
ОС: Arch Linux

Re: Wireless Remote Access Policy

Сообщение niklep »

Ну, в целом понятно что делать.
В modules/ldap писать:

Код: Выделить всё

groupname_attribute = cn
groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))

А в users:

Код: Выделить всё

DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
        Fall-Through = Yes
DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject
        Fall-Through = Yes
DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP
DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP

Соответственно, если группа всего одна, то достаточно прописать:

Код: Выделить всё

DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Wireless Remote Access Policy

Сообщение sash-kan »

niklep
спасибо, что поделились найденным решением. все б так поступали…
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали: