The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Wireless Remote Access Policy, аналог функционала windows 2003"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Изначальное сообщение [ Отслеживать ]

"Wireless Remote Access Policy, аналог функционала windows 2003"  +/
Сообщение от niklep email(ok) on 04-Май-11, 15:53 
Приветствую. Есть вопрос: каким образом реализовать в FreeRADIUS аналог Remote Access Policies из Internet Authentication Service (RADIUS из Windows Server 2003).
Опишу для чего это надо. В каталоге LDAP есть 2 группы. Названия групп и их состав указаны:

group: vlan1
users: user1, user2

group: vlan2
users: user2

Пользователи user1 и user2 также хранятся в LDAP.
Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит ли он группе, которой позволено находиться в запрашиваемом vlan'е.
Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не состоит в группе vlan2, поэтому получает Reject.

В какую сторону копать? Вроде и в гугле не забанен, но ничего дельного найти не могу.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Wireless Remote Access Policy, аналог функционала windows 2003"  +/
Сообщение от Grey1 on 04-Май-11, 16:49 
>[оверквотинг удален]
> group: vlan2
> users: user2
> Пользователи user1 и user2 также хранятся в LDAP.
> Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID
> свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит
> ли он группе, которой позволено находиться в запрашиваемом vlan'е.
> Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не
> состоит в группе vlan2, поэтому получает Reject.
> В какую сторону копать? Вроде и в гугле не забанен, но ничего
> дельного найти не могу.

а ваш radius при подключении видит с какой станции происходит подключение? (IP или MAC)
... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Wireless Remote Access Policy, аналог функционала windows 2003"  +/
Сообщение от niklep email(ok) on 11-Май-11, 15:56 
> ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC

Здесь важна именно реализация через группы, а не "просто сделать как-нибудь".
Вообще, конфиги должны быть примерно такие:

В modules/ldap писать:
> groupname_attribute = cn
> groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))

А в users:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
>        Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject
>        Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP

Соответственно, если группа всего одна, то достаточно прописать:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру