Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3:ldap [2016/09/18 12:54] jan.tomasek@cesnet.cz vytvořeno |
cs:spravce:pripojovani:radius:freeradius3:ldap [2017/02/18 12:47] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 4: | Řádek 4: | ||
Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení. | Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení. | ||
- | Je nutné upravit ''sites-enabled/inner-tunnel'', v sekci ''authorize{}'' změnit ''-ldap'' na ''ldap'' a v sekci ''authenticate{}'' odkomentovat podsekci ''Auth-Type LDAP {}'': | + | Je nutné upravit ''sites-enabled/inner-tunnel'', v sekci ''authorize{}'' změnit ''-ldap'' na ''ldap'': |
- | <xterm> | + | <code> |
authorize { | authorize { | ||
... | ... | ||
Řádek 12: | Řádek 12: | ||
} | } | ||
... | ... | ||
- | authenticate { | + | </code> |
- | ... | + | |
- | Auth-Type LDAP { | + | Pokud chcete krom EAPu povolit i autentizaci pomocí PAP/CHAP (pro weblogin systémy, jinak nedporučujeme) je třeba v ''sites-enabled/default'', v sekci ''authorize{}'' odkomentovat 'ldap'' a volat ho podmíněně jen pro vaše vlastní realmy, jinak vám bude FreeRADIUS hledat v LDAPu i cizí uživatele: |
- | ldap | + | |
+ | <code> | ||
+ | authorize { | ||
+ | if (&User-Name =~ /@domaci-realm.cz/ || &User-Name =~ /@domaci-realm.eu/) { | ||
+ | ldap | ||
} | } | ||
- | ... | ||
} | } | ||
- | </xterm> | + | </code> |
Nastavení přístupu k LDAP serveru se provádí v souboru ''/etc/freeradius/mods-available'': | Nastavení přístupu k LDAP serveru se provádí v souboru ''/etc/freeradius/mods-available'': | ||
- | <xterm> | + | <code> |
- | server = "ldaps:/ /ldap.<moje_domena>.cz" # mezera mezi lomitky v ldaps uri byt nema, pridana kvuli chybe xterm pluginu do dokuwiki | + | server = "ldaps://ldap.<moje_domena>.cz" |
identity = "uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz" # proxy uzivatel s pravy cist radius heslo | identity = "uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz" # proxy uzivatel s pravy cist radius heslo | ||
password = <proxy_heslo> # proxy uzivatel heslo | password = <proxy_heslo> # proxy uzivatel heslo | ||
Řádek 30: | Řádek 34: | ||
control:Cleartext-Password := 'radiusPassword' # atribut obsahujici eduroam heslo | control:Cleartext-Password := 'radiusPassword' # atribut obsahujici eduroam heslo | ||
} | } | ||
- | </xterm> | + | </code> |
V sekci ''tls{}'' nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru. | V sekci ''tls{}'' nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru. | ||
- | <xterm> | + | <code> |
ca_file = <ca_ldaps.pem> | ca_file = <ca_ldaps.pem> | ||
- | </xterm> | + | </code> |
Volba ''require_cert'' by měla být nastavena na ''demand''. | Volba ''require_cert'' by měla být nastavena na ''demand''. | ||
Řádek 41: | Řádek 45: | ||
Po nastavení je potřeba ldap modul aktivovat. | Po nastavení je potřeba ldap modul aktivovat. | ||
V adresáři ''/etc/freeradius/mods-enabled'' vytvořte symbolický link: | V adresáři ''/etc/freeradius/mods-enabled'' vytvořte symbolický link: | ||
- | <xterm> | + | <code> |
cd /etc/freeradius/mods-enabled | cd /etc/freeradius/mods-enabled | ||
ln -s ../mods-available/ldap | ln -s ../mods-available/ldap | ||
- | </xterm> | + | </code> |