在我得到 FreeRadius、samba winbind、带 ECDSA 证书的 XCA、Active Directory 和 Ubiquiti Unifi 之后,我感觉就像跳上跳下一样。
下一个问题,ActiveDirectory 中的任何有效帐户当前都将进行身份验证。如何将此限制为特定 AD 组的成员?
我想到的一种糟糕的方法是在 post-auth 模块中执行一个 bash 脚本,该脚本执行快速 LDAP 搜索。这会发生什么不好的事情吗?
编辑
这是让一切正常工作的指南!https://gist.github.com/exabrial/368c279aad65cefd8c5f
现在,您需要使用
rlm_ldap(这将比 bash 脚本快得多)。我们已经讨论了公开 winbind 的 API 以进行组查找,但您需要使用 Samba 3.2.1 和 FreeRADIUS v3.1.x 的构建才能利用已开发的任何功能。mods-available/ldap由于配置文件有很好的文档记录,因此我将让您查看(并完成) 。将其定制到 LDAP 服务器后,创建一个符号链接 frommods-available/ldaptomods-enabled/ldap以启用该模块。要执行组查找,您需要将
LDAP-Group属性与值进行比较,然后做出拒绝用户的决定。就像是:
...在内部隧道虚拟服务器中可以工作。