Pesquisar neste blog

terça-feira, 16 de novembro de 2010

Usando FreeRADIUS para autenticar no ActiveDirecotry

Olá amigos,
tive a necessidade de autenticar nossa rede wifi utilizando-se de nossa base de usuários do AD, então para isso utilizei o freeradius 1.1.3 do CentOS 5.


Editando os arquivos de configuração:

# vim clients.conf

client 10.0.0.1 {
        secret = senha
        shortname = AP_XXX
        nastype = other
}


# vim users

DEFAULT Auth-Type := "LDAP"

# vim eap.conf


        eap {
                default_eap_type = peap
                timer_expire     = 60
                ignore_unknown_eap_types = no
                cisco_accounting_username_bug = no

                md5 {
                }

                leap {
                }

                gtc {
                        auth_type = PAP
                }

tls {
     private_key_password = whatever
     private_key_file = /etc/raddb/certs/cert-srv.pem
     certificate_file = /etc/raddb/certs/cert-srv.pem
     CA_file = /etc/raddb/certs/demoCA/cacert.pem
     dh_file = /etc/raddb/certs/dh
     random_file = /etc/raddb/certs/random
     fragment_size = 1024
     check_crl = no
   }

   ttls {
      default_eap_type = md5
      copy_request_to_tunnel = no
      use_tunneled_reply = no
   }




                 peap {
                        default_eap_type = mschapv2
                }

                mschapv2 {
                }
        }


# vim radiusd.conf

modules {

...
      ldap {
                authtype = ldap
                server = "servidor.dominio.net"
                identity = "login@dominio.net"
                password = "S3nh@"
                basedn = "ou=Usuaurio,dc=dominio,dc=net"
                base_filter = "(objectclass=posixAccount)"
                base_filter = "(objectClass=person)"
                access_attr = "SamAccountName"

                filter = "(&(sAMAccountname=%{Stripped-User-Name:-%{User-Name}})(objectClass=person))"

                start_tls = no
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                timeout = 4
                timelimit = 3
                net_timeout = 1
        }

 ....
}


authorize {
        preprocess
        ldap
        eap
        chap
        mschap
        files
}

authenticate {
        Auth-Type PAP {
                pap
        }

        Auth-Type CHAP {
                chap
        }

        Auth-Type MS-CHAP {
                mschap
        }
        Auth-Type LDAP {
                ldap
        }
        unix
        eap
}

9 comentários:

Everton disse...

Marcos, esta integração é utilizando o samba? Poderia passar os pacotes que necessitam ser instalados?

Obrigado

Marcos Abadi disse...

Olá Everton,
esta integração não requer samba, pois a autenticação é simplesmente via ldap do AD.

Abraço!

Everton disse...

Legal Marcos. Vou experimentar. Se possível gostaria de contar com seu apoio!

Obrigado!

Marcos Abadi disse...

Claro Everton, sem problemas. Mas seguindo a dica não tem erro. Qualquer coisa, posta sua dúvida ai.

Abraços.

Marcos Souza Gomes disse...

Pesquisei e trabalhei em cima de uma integração do FreeRadius e AD por quase um mês.
Após todo esse tempo pesquisando eu não conseguia fazer com o que o LDAP enviasse a senha ao AD.
O seu blog foi o que resolveu meu problema em 5 minutos.
Parabéns.
Abraços
Marcos

Marcos Souza Gomes disse...

Pesquisei e trabalhei em cima de uma integração do FreeRadius e AD por quase um mês.
Após todo esse tempo pesquisando eu não conseguia fazer com o que o LDAP enviasse a senha ao AD.
O seu blog foi o que resolveu meu problema em 5 minutos.
Parabéns.
Abraços
Marcos

Marcos Abadi disse...

Obrigado Marcos,
a ideia é essa, ir colocando no blog as experiências já vividas, para ajudar outros colegas.

Abraços.

Jonas disse...

Marcos blz. Uma duvida. Tenho um cenario para autenticação do modens adsl+bras+radius+ldap: Hoeje usando o protocolo PAP.. Caso eu tenha queira implementar um modo misto de autenticação PAP e CHAP, isto seria possivel. Bastaria apenas, alterar o modulo, autorização e autenticação. A duvida é se no CHAP como senhas são criptografadas e na base LDAP, são em textos puros como verifica-las. valeu

Joao Silva disse...

Olá Marcos,

O Arquivo Clients quais são as configurações que preciso colocar ali? A minha intenção é centralizar a autenticação de users (operadores da rede) integrando o Radius ao AD. O equipamentos que eles acessam são em sua maioria switches/routers.

Desde já, muito Obrigado.