LDAP

LDAP Zugriff einrichten

Bei der Installation von Linuxmuster.net wurde bereits die notwendige Konfiguration in der Datei /etc/freeradius/radiusd.conf vorgenommen. Suchen Sie in der Datei den Abschnitt, der den LDAP betrifft und überprüfen sie folgende Angaben:

...
ldap {
   ...
   server = "localhost"
   identity = "cn=admin,dc=linuxmuster-net,dc=lokal"
   password = geheim
   basedn = "ou=accounts,dc=linuxmuster-net,dc=lokal"
   filter = "(uid=%u)"
   ...
}
...

Das benötige Passwort kann mit folgendem Befehl angezeigt werden:

$ cat /etc/ldap/slapd.conf | grep rootpw

Aktivieren Sie nun in der Datei /etc/freeradius/sites-available/default UND /etc/freeradius/sites-available/inner-tunnel die LDAP-Authentifizierung, d.h. entfernen Sie bei den jeweiligen Zeilen zu LDAP die Kommentarzeichen.

...
authorize {
   ...
   ldap
   ...
}
...
authenticate {
   ...
   Auth-Type LDAP {
      ldap
   }
   ...
}

Am Ende starten Sie die Radius-Server neu:

$ service freeradius restart

LDAP-Authentifizierung testen

Geben Sie folgenden Befehl ein (Benutzernamen und Passwort anpassen!):

$ radtest user password localhost 10 testing123
....
rad_recv: Access-Accept Packet from ...

Falls Sie ein Access-Accept Packet erhalten haben, war die Authentifizierung erfolgreich!

Weitere Einstellungen

Zugriffsbeschränkung aktivieren

Wenn man den Radius-Server zur Authentifizierung im WLAN benutzt und nur bestimmte Nutzer Zugriff erhalten sollen (z.B. alle Mitglieder der Gruppe p_wifi), so muss man in der Datei /etc/freeradius/users folgende Änderung vornehmen bzw. hinzufügen:

...
DEFAULT Group != p_wifi
DEFAULT Auth-Type := Reject
   Reply-Message = "Your are not allowed to access the WLAN!"
...

Alternativ kann man auch die entsprechende LDAP-Gruppe direkt abfragen.

...
DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=linuxmuster-net,dc=lokal"
DEFAULT Auth-Type := Reject
   Reply-Message = "Your are not allowed to access the WLAN!"
...

Im Abschnitt ldap {...} in der Datei /etc/freeradius/radiusd.conf muss noch der entsprechende Filter aktiviert werden:

...
groupmembership_filter = (&(objectClass=posixGroup)(memberUid=%u))
...

Logging aktivieren

In der Datei /etc/freeradius/radiusd.conf kann das Logging von Authentifizierungs-Anfragen eingeschaltet werden. Die Log-Datei ist: /var/log/freeradius/radius.log. Vergessen Sie nicht den Neustart des Radius-Servers!

log {
   ...
   auth = yes
   ...
}