Fatal编程技术网
  • ldap/
  • 来自ldap组名的Freeradius返回信息

来自ldap组名的Freeradius返回信息

ldap

来自ldap组名的Freeradius返回信息,ldap,freeradius,mikrotik,Ldap,Freeradius,Mikrotik,是否有人可以帮助我使用freeradius和ldap 我有这样一个ldap: 我在debian buster(10)上使用freeradius 3。这是我第一次使用freeradius。 radius客户端是mikrotik路由器,我需要使用radius对vpn用户进行身份验证和授权 身份验证还可以,但对于授权,我需要从freeradius返回一个参数名为“Framed Pool”的mikrotik路由器 框架池的内容必须是用户组的名称。在我的情况下,组将是vpn用户或vpn管理员 freera

是否有人可以帮助我使用freeradius和ldap

我有这样一个ldap:

我在debian buster(10)上使用freeradius 3。这是我第一次使用freeradius。 radius客户端是mikrotik路由器,我需要使用radius对vpn用户进行身份验证和授权

身份验证还可以,但对于授权,我需要从freeradius返回一个参数名为“Framed Pool”的mikrotik路由器

框架池的内容必须是用户组的名称。在我的情况下,组将是vpn用户或vpn管理员

freeradius-CX的结果: 我配置的另一部分来自初始设置 对于客户端(mikrotik路由器):

然后,当我测试localhost时: 
radtest“用户uid”“用户密码”localhost 1812“mdp客户端freeradius localhost”

凭借良好的用户名和密码,我从radius得到了以下答案:

Sent Access-Request Id 150 from 0.0.0.0:39638 to 127.0.0.1:1812 length 73
    User-Name = "cmc"
    User-Password = "****"
    NAS-IP-Address = 172.22.2.253
    NAS-Port = 1812
    Message-Authenticator = 0x00
    Cleartext-Password = "****"
Received Access-Accept Id 150 from 127.0.0.1:1812 to 127.0.0.1:39638 length 37
    Framed-Pool = "cmc@test.local"
所以没关系:答案中有框架池,但我需要的是ldap组名,而不是邮件

我不想将组名添加到ldap的用户字段中

谢谢

  ldap {
    server = "localhost"
    port = 389
    identity = "cn=admin,dc=test,dc=local"
    password = <<< secret >>>
   sasl {
   }
   user {
    scope = "sub"
    access_positive = yes
    sasl {
    }
   }
   group {
    filter = "(objectClass=posixGroup)"
    scope = "sub"
    name_attribute = "cn"
    membership_filter = "(|(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
    cacheable_name = no
    cacheable_dn = no
   }
   client {
    scope = "sub"
    base_dn = ""
   }
   profile {
   }
   options {
    ldap_debug = 40
    chase_referrals = yes
    rebind = yes
    net_timeout = 1
    res_timeout = 10
    srv_timelimit = 3
    idle = 60
    probes = 3
    interval = 3
   }
   tls {
    start_tls = no
   }
  }

ldap {
    [...]
    update {
        control:Password-With-Header += 'userPassword'
        reply:Framed-Pool := 'mail'
    }
    [...]
}

Sent Access-Request Id 150 from 0.0.0.0:39638 to 127.0.0.1:1812 length 73
    User-Name = "cmc"
    User-Password = "****"
    NAS-IP-Address = 172.22.2.253
    NAS-Port = 1812
    Message-Authenticator = 0x00
    Cleartext-Password = "****"
Received Access-Accept Id 150 from 127.0.0.1:1812 to 127.0.0.1:39638 length 37
    Framed-Pool = "cmc@test.local"