j3141592653589793238's questions

我将 FreeRADIUS 配置为使用 EAP-TLS 进行基于证书的身份验证（自签名证书）。身份验证工作正常，除了我想添加基于组的授权。

更具体地说，我需要Class在回复中使用要发送回 NAS 的属性。该属性将被 NAS 读取并解释为组成员信息（例如Class= myclass）。

一些背景资料： 我将 FreeRADIUS 与 strongSwan 一起使用；这就是解释组成员信息的地方。

我正在寻找一种让 FreeRADIUS 了解这些组的简单方法。我尝试Class在 rlm_files 模块 ( freeradius/3.0/mods_config/files/authorize) 的配置文件中设置属性，如下所示：

username     
            Reply-Message := "Hello, %{User-Name}",
            Class := "myclass"

我将第一行留空，因为不需要“检查项目”。

EAP-TLS 身份验证成功，但该Class属性未附加到回复中。

我什至不确定 FreeRADIUS 是否在 EAP-TLS 身份验证完成后处理user（或）文件。authorize我对此表示怀疑。

有没有一种简单的方法来Class根据用户名指定属性（假设有多个用户和几个组）？

使用 strongSwan 构建 VPN 服务，我需要区分几组用户，其中每个组都分配有具有特定权限的特定子网（即“组 x”只能访问本地子网的特定部分，例如 192.168.10.10/ 32)。

官方的 strongSwan wiki 只允许使用 RADIUS 服务器进行所谓的“组选择” 。

现在，根据 Wiki，有两种可能获得组成员信息；通过读取和解释在 RADIUS-Accept 响应中发送的类属性或通过解释Filter-Id属性。这篇文章没有强调一种方法或另一种方法的（缺点）优点。

虽然我觉得使用像 FreeRADIUS 这样的 RADIUS 服务器有点过头了——我更喜欢 strongSwan 提供的解决方案，一些插件等——我设置并配置了 FreeRadius，这就是我卡住的地方。

我坚持第一种方法（使用类属性发回组成员信息）。

在 rlm_files 模块 ( freeradius/3.0/mods_config/files/authorize) 的配置文件中，我设置了 Bob：

#
# The canonical testing user which is in most of the
# examples.
#
bob     Cleartext-Password := "hello"
        Reply-Message := "Hello, %{User-Name}"
#       Class := "myclass"

身份验证没有问题，唯一缺少的是类属性。此页面列出了所有可用的 FreeRADIUS 属性。我查找了Class属性并尝试设置守护程序无法读取的值（见上文）。

该文件还明确表示

第一行之后的缩进（带有制表符）行表示要传递回通信服务器以允许启动用户会话的配置值。这可以包括诸如 PPP 配置值或用户登录的主机之类的内容。

在网上搜索，这个关于 serverfault 的帖子似乎使用了类似的方法，但使用了另一个 LDAP 服务器。到目前为止，还不需要 LDAP 服务器，这意味着要依赖另一个依赖项或另一个服务。

我也不能使用明文密码（就像 Bob 一样），相反，我更喜欢基于证书的身份验证。

为基于组的策略设置 FreeRADIUS（以及，如有必要，任何其他依赖项）的正确方法是什么？我有什么可能性？