Freeradius + 2 x LDAP + VLAN

Miroslav Lednicky miroslav.lednicky na fnusa.cz
Pondělí Září 16 08:15:31 CEST 2013


Kdyz jsem tady nedostal odpoved, tak jsem se ptal v anglicky mluvicim
listu a poslali mi tohle:

authorize {
ldap1
if (ok) {
update reply {

                 Tunnel-Type = VLAN,

                 Tunnel-Medium-Type = IEEE-802

                 Tunnel-Private-Group-Id = 1

}
}
elsif {
ldap2
if (ok) {
update reply {

Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 2	
}
}
}
}

to mi s lehkou obmenou funguje. Ale VLANa na portu switche se stejne
neprehodila. To uz bude jiny problem, ktery musim doresit. ;-)

Diky za odpoved

Dne 15.9.2013 19:04, Pavel Kankovsky napsal(a):
> On Wed, 11 Sep 2013, Miroslav Lednicky wrote:
>
>> Potreboval bych, aby uzivatele serveru ldap1 spadli do VLAN 1
>> a uzivatele LDAP 2 do VLAN 2. To se mi nedari nakonfigurovat.
>>
>> [...]
>>
>> v /etc/freeradius/sites-enabled/inner-tunnel :
>>
>> authorize {
>>        [...]
>> 	files
>> 	ldap1
>> 	ldap2
>> 	expiration
>> 	logintime
>> 	pap
>> }
>>
>> authenticate {
>>        [...]
>> 	Auth-Type LDAP1 {
>>                   ldap1
>>           }
>>
>>           Auth-Type LDAP2 {
>>                   ldap2
>>           }
>> 	eap
>> }
>
> To jako uživatele z obou skupin rozlišujete podle toho, na kterém LDAP
> serveru se je podaří najít? Hmm...
>
> Jestli Vám funguje tady toto, tak by mělo jít do nějakého souboru typu
> users napsat podmínky Auth-Type == LDAP1 nebo LDAP2. Akorát je chyták
> v tom, že se ten soubor musí vyhodnotit až poté, co to v authorize projde
> skrz moduly ldap1 a ldap2. rlm_files nefunguje v authenticate, ale mělo by
> být možno to udělat už v authorize, akorát buď musíte stávající
> files v authenticate přesunout nebo vyrobit novou sekci toho typu.
>
> Možná by se to dalo udělat i pomocí unlang-u (jmenovitě konstrukce
> update).

jj,

kdyz jsem tady nedostal odpoved, tak jsem se ptal v anglicky mluvicim
listu a poslali mi tohle:

authorize {
ldap1
if (ok) {
update reply {

                 Tunnel-Type = VLAN,

                 Tunnel-Medium-Type = IEEE-802

                 Tunnel-Private-Group-Id = 1

}
}
elsif {
ldap2
if (ok) {
update reply {

Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 2	
}
}
}
}

to mi s lehkou obmenou funguje. Ale VLANa na portu switche se stejne
neprehodila. To uz bude jiny problem, ktery musim doresit. ;-)

Diky za odpoved

-- 
Mgr. Miroslav Lednický
Vedoucí odboru správy datové sítě a hlasových služeb
Úsek Informatiky
Fakultní nemocnice u sv. Anny v Brně
Pekařská 664/53, 656 91, Brno


Další informace o konferenci Linux