Freeradius + 2 x LDAP + VLAN
Miroslav Lednicky
miroslav.lednicky na fnusa.cz
Pondělí Září 16 08:15:31 CEST 2013
Kdyz jsem tady nedostal odpoved, tak jsem se ptal v anglicky mluvicim
listu a poslali mi tohle:
authorize {
ldap1
if (ok) {
update reply {
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 1
}
}
elsif {
ldap2
if (ok) {
update reply {
Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 2
}
}
}
}
to mi s lehkou obmenou funguje. Ale VLANa na portu switche se stejne
neprehodila. To uz bude jiny problem, ktery musim doresit. ;-)
Diky za odpoved
Dne 15.9.2013 19:04, Pavel Kankovsky napsal(a):
> On Wed, 11 Sep 2013, Miroslav Lednicky wrote:
>
>> Potreboval bych, aby uzivatele serveru ldap1 spadli do VLAN 1
>> a uzivatele LDAP 2 do VLAN 2. To se mi nedari nakonfigurovat.
>>
>> [...]
>>
>> v /etc/freeradius/sites-enabled/inner-tunnel :
>>
>> authorize {
>> [...]
>> files
>> ldap1
>> ldap2
>> expiration
>> logintime
>> pap
>> }
>>
>> authenticate {
>> [...]
>> Auth-Type LDAP1 {
>> ldap1
>> }
>>
>> Auth-Type LDAP2 {
>> ldap2
>> }
>> eap
>> }
>
> To jako uživatele z obou skupin rozlišujete podle toho, na kterém LDAP
> serveru se je podaří najít? Hmm...
>
> Jestli Vám funguje tady toto, tak by mělo jít do nějakého souboru typu
> users napsat podmínky Auth-Type == LDAP1 nebo LDAP2. Akorát je chyták
> v tom, že se ten soubor musí vyhodnotit až poté, co to v authorize projde
> skrz moduly ldap1 a ldap2. rlm_files nefunguje v authenticate, ale mělo by
> být možno to udělat už v authorize, akorát buď musíte stávající
> files v authenticate přesunout nebo vyrobit novou sekci toho typu.
>
> Možná by se to dalo udělat i pomocí unlang-u (jmenovitě konstrukce
> update).
jj,
kdyz jsem tady nedostal odpoved, tak jsem se ptal v anglicky mluvicim
listu a poslali mi tohle:
authorize {
ldap1
if (ok) {
update reply {
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 1
}
}
elsif {
ldap2
if (ok) {
update reply {
Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Tunnel-Private-Group-Id = 2
}
}
}
}
to mi s lehkou obmenou funguje. Ale VLANa na portu switche se stejne
neprehodila. To uz bude jiny problem, ktery musim doresit. ;-)
Diky za odpoved
--
Mgr. Miroslav Lednický
Vedoucí odboru správy datové sítě a hlasových služeb
Úsek Informatiky
Fakultní nemocnice u sv. Anny v Brně
Pekařská 664/53, 656 91, Brno
Další informace o konferenci Linux