[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: hotspot freeradius

Marco Gaiarin ha scritto il 12/02/2016 alle 14:19:
>> quindi se una macchina è nel dominio già si può autenticare? Molto
>> interessante, non sapevo nemmeno fosse possibile...
> 
> Certo! Poi con XP si pianta una volta sie l'altra pure, solo con win7 va un
> po' meglio...
grazie al tuo aiuto sono riuscito a configurare il server freeradius per
l'autenticazione degli utenti tramite winbind.

Ora stavo cercando di utilizzare i tuoi consigli per permettere
l'autenticazione soltanto ad alcuni gruppi, appartenenza verificata
tramite ldap.

Ho quindi installato freeradius-ldap, configurato il modulo ldap:
> root@debian-stable:~# egrep -v "(^$| *# *)" /etc/freeradius/modules/ldap
> ldap {
> 	server = "servercsa.csaricerche.com"
> 	basedn = "dc=directory,dc=nh"
> 	base_filter = "(&(objectClass=sambaSamAccount)(objectClass=posixAccount))"
> 	filter = "(uid=%{tolower:%{mschap:User-Name}})"
> 	ldap_connections_number = 5
> 	max_uses = 0
> 	timeout = 4
> 	timelimit = 3
> 	net_timeout = 1
> 	tls {
> 		start_tls = no
> 	}
> 	dictionary_mapping = ${confdir}/ldap.attrmap
> 	edir_account_policy_check = no
> 	groupname_attribute = cn
> 	groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{tolower:%{mschap:User-Name}}))"
> 	 set_auth_type = no
> 	keepalive {
> 		idle = 60
> 		probes = 3
> 		interval = 3
> 	}
> }

Poi ho abilitato ldap negli host virtuali default e inner-tunnel nella
sezione authorize ma non authenticate ed infine nel file users ho aggiunto

> DEFAULT Service-Type == Framed-User, Ldap-Group == "segr_tecn"
> DEFAULT Service-Type == Framed-User, Auth-Type := Reject
> Reply-Message = "Gruppo non autorizzato"

Ma freeradius mi autentica anche se non sono nel gruppo segr_tecn.

Nei log di freeradius relativamente ad ldap compare soltanto:
> [ldap] performing user authorization for psala
> [ldap] 	expand: %{mschap:User-Name} -> psala
> [ldap] 	expand: (uid=%{tolower:%{mschap:User-Name}}) -> (uid=psala)
> [ldap] 	expand: dc=directory,dc=nh -> dc=directory,dc=nh
>   [ldap] ldap_get_conn: Checking Id: 0
>   [ldap] ldap_get_conn: Got Id: 0
>   [ldap] attempting LDAP reconnection
>   [ldap] (re)connect to servercsa.csaricerche.com:389, authentication 0
>   [ldap] bind as / to servercsa.csaricerche.com:389
>   [ldap] waiting for bind result ...
>   [ldap] Bind was successful
>   [ldap] performing search in dc=directory,dc=nh, with filter (uid=psala)
> [ldap] No default NMAS login sequence
> [ldap] looking for check items in directory...
> [ldap] looking for reply items in directory...
> WARNING: No "known good" password was found in LDAP.  Are you sure that the user is configured correctly?
>   [ldap] ldap_release_conn: Release Id: 0
> ++[ldap] = ok
mentre speravo comparisse qualcosa riguardo agli Ldap-Group...

se qualcuno ha qualche idea...

Mille grazie

Piviul
Reply to: