Re: hotspot freeradius
Marco Gaiarin ha scritto il 12/02/2016 alle 14:19:
>> quindi se una macchina è nel dominio già si può autenticare? Molto
>> interessante, non sapevo nemmeno fosse possibile...
>
> Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un
> po' meglio...
grazie al tuo aiuto sono riuscito a configurare il server freeradius per
l'autenticazione degli utenti tramite winbind.
Ora stavo cercando di utilizzare i tuoi consigli per permettere
l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata
tramite ldap.
Ho quindi installato freeradius-ldap, configurato il modulo ldap:
> root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap
> ldap {
> server = "servercsa.csaricerche.com"
> basedn = "dc=directory,dc=nh"
> base_filter = "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))"
> filter = "(uid=%{tolower:%{mschap:User-Name}})"
> ldap_connections_number = 5
> max_uses = 0
> timeout = 4
> timelimit = 3
> net_timeout = 1
> tls {
> start_tls = no
> }
> dictionary_mapping = ${confdir}/ldap.attrmap
> edir_account_policy_check = no
> groupname_attribute = cn
> groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))"
> set_auth_type = no
> keepalive {
> idle = 60
> probes = 3
> interval = 3
> }
> }
Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella
sezione authorize ma non authenticate ed infine nel file users ho aggiunto
> DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn"
> DEFAULT Service-Type == Framed-User, Auth-Type := Reject
> Reply-Message = "Gruppo non autorizzato"
Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn.
Nei log di freeradius relativamente ad ldap compare soltanto:
> [ldap] performing user authorization for psala
> [ldap] expand: %{mschap:User-Name} -> psala
> [ldap] expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala)
> [ldap] expand: dc=directory,dc=nh -> dc=directory,dc=nh
> [ldap] ldap_get_conn: Checking Id: 0
> [ldap] ldap_get_conn: Got Id: 0
> [ldap] attempting LDAP reconnection
> [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0
> [ldap] bind as / to servercsa.csaricerche.com:389
> [ldap] waiting for bind result ...
> [ldap] Bind was successful
> [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala)
> [ldap] No default NMAS login sequence
> [ldap] looking for check items in directory...
> [ldap] looking for reply items in directory...
> WARNING: No "known good" password was found in LDAP. Are you sure that the user is configured correctly?
> [ldap] ldap_release_conn: Release Id: 0
> ++[ldap] = ok
mentre speravo comparisse qualcosa riguardo agli Ldap-Group...
se qualcuno ha qualche idea...
Mille grazie
Piviul
Reply to: