forum.opennet.ru - "Wireless Remote Access Policy, аналог функционала windows 2003" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Wireless Remote Access Policy, аналог функционала windows 2003"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Wireless Remote Access Policy, аналог функционала windows 2003"	+/–
Сообщение от niklep (ok) on 04-Май-11, 15:53
Приветствую. Есть вопрос: каким образом реализовать в FreeRADIUS аналог Remote Access Policies из Internet Authentication Service (RADIUS из Windows Server 2003). Опишу для чего это надо. В каталоге LDAP есть 2 группы. Названия групп и их состав указаны: group: vlan1 users: user1, user2 group: vlan2 users: user2 Пользователи user1 и user2 также хранятся в LDAP. Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит ли он группе, которой позволено находиться в запрашиваемом vlan'е. Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не состоит в группе vlan2, поэтому получает Reject. В какую сторону копать? Вроде и в гугле не забанен, но ничего дельного найти не могу.
Ответить \| Правка \| Cообщить модератору

Оглавление

Wireless Remote Access Policy, аналог функционала windows 2003, Grey1, 16:49 , 04-Май-11, (1)

Wireless Remote Access Policy, аналог функционала windows 2003, niklep, 15:56 , 11-Май-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Wireless Remote Access Policy, аналог функционала windows 2003" +/–

Сообщение от Grey1 on 04-Май-11, 16:49

>[оверквотинг удален]
> group: vlan2
> users: user2
> Пользователи user1 и user2 также хранятся в LDAP.
> Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID
> свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит
> ли он группе, которой позволено находиться в запрашиваемом vlan'е.
> Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не
> состоит в группе vlan2, поэтому получает Reject.
> В какую сторону копать? Вроде и в гугле не забанен, но ничего
> дельного найти не могу.
а ваш radius при подключении видит с какой станции происходит подключение? (IP или MAC)
... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Wireless Remote Access Policy, аналог функционала windows 2003" +/–

Сообщение от niklep (ok) on 11-Май-11, 15:56

> ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC
Здесь важна именно реализация через группы, а не "просто сделать как-нибудь".
Вообще, конфиги должны быть примерно такие:
В modules/ldap писать:
> groupname_attribute = cn
> groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}}))
А в users:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
> Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject
> Fall-Through = Yes
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP
Соответственно, если группа всего одна, то достаточно прописать:
> DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Wireless Remote Access Policy, аналог функционала windows 2003"	+/–
Сообщение от Grey1 on 04-Май-11, 16:49
>[оверквотинг удален] > group: vlan2 > users: user2 > Пользователи user1 и user2 также хранятся в LDAP. > Когда пользователь пытается подключиться к одному из 2х SSID (у каждого SSID > свой VLAN), вводит логин/пароль, необходимо (очевидно на радиусе) проверять, принадлежит > ли он группе, которой позволено находиться в запрашиваемом vlan'е. > Пример: user1 подключается к SSID, который отвечает за vlan2. Но он не > состоит в группе vlan2, поэтому получает Reject. > В какую сторону копать? Вроде и в гугле не забанен, но ничего > дельного найти не могу. а ваш radius при подключении видит с какой станции происходит подключение? (IP или MAC) ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Wireless Remote Access Policy, аналог функционала windows 2003"	+/–
	Сообщение от niklep (ok) on 11-Май-11, 15:56
	> ... хотя с тем же успехом можно на "SSID" создать список валидных станций по MAC Здесь важна именно реализация через группы, а не "просто сделать как-нибудь". Вообще, конфиги должны быть примерно такие: В modules/ldap писать: > groupname_attribute = cn > groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%{Stripped-User-Name:-%{User-Name}})) А в users: > DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject > Fall-Through = Yes > DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL60", Auth-Type := Reject > Fall-Through = Yes > DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL40", Auth-Type := EAP > DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group == "VL60", Auth-Type := EAP Соответственно, если группа всего одна, то достаточно прописать: > DEFAULT NAS-Identifier == Wireless-Controller, Ldap-Group != "VL40", Auth-Type := Reject
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору