tive a necessidade de autenticar nossa rede wifi utilizando-se de nossa base de usuários do AD, então para isso utilizei o freeradius 1.1.3 do CentOS 5.
Editando os arquivos de configuração:
# vim clients.conf
client 10.0.0.1 {
secret = senha
shortname = AP_XXX
nastype = other
}
# vim users
DEFAULT Auth-Type := "LDAP"
# vim eap.conf
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls {
private_key_password = whatever
private_key_file = /etc/raddb/certs/cert-srv.pem
certificate_file = /etc/raddb/certs/cert-srv.pem
CA_file = /etc/raddb/certs/demoCA/cacert.pem
dh_file = /etc/raddb/certs/dh
random_file = /etc/raddb/certs/random
fragment_size = 1024
check_crl = no
}
ttls {
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
}
peap {
default_eap_type = mschapv2
}
mschapv2 {
}
}
# vim radiusd.conf
modules {
...
ldap {
authtype = ldap
server = "servidor.dominio.net"
identity = "login@dominio.net"
password = "S3nh@"
basedn = "ou=Usuaurio,dc=dominio,dc=net"
base_filter = "(objectclass=posixAccount)"
base_filter = "(objectClass=person)"
access_attr = "SamAccountName"
filter = "(&(sAMAccountname=%{Stripped-User-Name:-%{User-Name}})(objectClass=person))"
start_tls = no
dictionary_mapping = ${raddbdir}/ldap.attrmap
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
}
....
}
authorize {
preprocess
ldap
eap
chap
mschap
files
}
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
Auth-Type LDAP {
ldap
}
unix
eap
}
9 comentários:
Marcos, esta integração é utilizando o samba? Poderia passar os pacotes que necessitam ser instalados?
Obrigado
Olá Everton,
esta integração não requer samba, pois a autenticação é simplesmente via ldap do AD.
Abraço!
Legal Marcos. Vou experimentar. Se possível gostaria de contar com seu apoio!
Obrigado!
Claro Everton, sem problemas. Mas seguindo a dica não tem erro. Qualquer coisa, posta sua dúvida ai.
Abraços.
Pesquisei e trabalhei em cima de uma integração do FreeRadius e AD por quase um mês.
Após todo esse tempo pesquisando eu não conseguia fazer com o que o LDAP enviasse a senha ao AD.
O seu blog foi o que resolveu meu problema em 5 minutos.
Parabéns.
Abraços
Marcos
Pesquisei e trabalhei em cima de uma integração do FreeRadius e AD por quase um mês.
Após todo esse tempo pesquisando eu não conseguia fazer com o que o LDAP enviasse a senha ao AD.
O seu blog foi o que resolveu meu problema em 5 minutos.
Parabéns.
Abraços
Marcos
Obrigado Marcos,
a ideia é essa, ir colocando no blog as experiências já vividas, para ajudar outros colegas.
Abraços.
Marcos blz. Uma duvida. Tenho um cenario para autenticação do modens adsl+bras+radius+ldap: Hoeje usando o protocolo PAP.. Caso eu tenha queira implementar um modo misto de autenticação PAP e CHAP, isto seria possivel. Bastaria apenas, alterar o modulo, autorização e autenticação. A duvida é se no CHAP como senhas são criptografadas e na base LDAP, são em textos puros como verifica-las. valeu
Olá Marcos,
O Arquivo Clients quais são as configurações que preciso colocar ali? A minha intenção é centralizar a autenticação de users (operadores da rede) integrando o Radius ao AD. O equipamentos que eles acessam são em sua maioria switches/routers.
Desde já, muito Obrigado.
Postar um comentário