FreeRADIUS LDAP

• Versão avaliada: Fedora 42, 44

Configurações Módulo LDAP

• Crie link simbólico arquivo de configuração ldap:

# ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

• Realize ajuste de configuração no modulo ldap:

# vi mods-enabled/ldap

....

ldap {

    # Servidor FreeIPA:Porta

    server = "hl251.ipa.domain.internal"

    port = 636

    # Ususario para Bind

    identity = "uid=binddnfreeipa,cn=users,cn=accounts,dc=ipa,dc=domain,dc=internal"

    password = <SENHA>

    # Base de busca para usuários e grupos

    base_dn = "dc=ipa,dc=domain,dc=internal"

    user {

        base_dn = "cn=users,cn=accounts,dc=ipa,dc=domain,dc=internal"

        filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

    }

    group {

        base_dn = "cn=groups,cn=accounts,dc=ipa,dc=domain,dc=internal"

        filter = "(objectClass=ipausergroup)" <- Objeto ipausergroup|posixGroup usado no FreeIPA

    }

    tls {

        start_tls = no

        ca_file = /etc/ipa/ca.crt

require_cert = "allow"

    }

}

• Procure as linhas abaixo no arquivo sites-enabled/default e altere e/ou descomente:

authorize { <- Para que o RADIUS busque o usuário no IPA.

....

    ldap <- Remova o caractere "-"

....

    if ((ok || updated) && User-Password && !control:Auth-Type) {

            update control {

                    &Auth-Type := ldap

            }

    }

...

}

authenticate { <- Para que o RADIUS valide a senha contra o LDAP (se não estiver usando MS-CHAPv2 direto)

    Auth-Type LDAP {

        ldap

    }

}

• Procure as linhas abaixo no arquivo sites-enabled/inner-tunnel e altere e/ou descomente:

authorize { <- Para que o RADIUS busque o usuário no IPA.

....

    ldap <- Remova o caractere "-"

....

}

authenticate { <- Para que o RADIUS valide a senha contra o LDAP (se não estiver usando MS-CHAPv2 direto)

    Auth-Type LDAP {

        ldap

    }

}

• Rode o modo de depuração

# radiusd -X

• Se tudo ok no modo de depuração, reinicie o serviço.

# systemctl restart radiusd.service

TESTE

# radtest tiochico Senha2025 localhost 1812 testing123

Sent Access-Request Id 144 from 0.0.0.0:47651 to 127.0.0.1:1812 length 78

User-Name = "tiochico"

User-Password = "Senha2025"

NAS-IP-Address = 10.1.10.251

NAS-Port = 1812

Message-Authenticator = 0x00

Cleartext-Password = "Senha2025"

Received Access-Accept Id 144 from 127.0.0.1:1812 to 127.0.0.1:47651 length 38

Message-Authenticator = 0x3561382d4071499477f4afc0daa92368

Link: 1 / 2 / 3 / 4 / 5

Outros

• Um possível filtro:

ldap {

....

        user {

....

                filter = "(&(uid=%{User-Name})(|(memberOf=cn=g_allow_internet_wifimobi,cn=groups,cn=accounts,dc=local,dc=domain)(memberOf=cn=g_allow_internet_wificorp,cn=groups,cn=accounts,dc=local,dc=domain)))"