Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:radius:freeradius3:ldap [2016/09/18 12:54] jan.tomasek@cesnet.cz vytvořeno |
cs:spravce:pripojovani:radius:freeradius3:ldap [2019/11/29 13:49] jan.tomasek@cesnet.cz |
||
|---|---|---|---|
| Řádek 4: | Řádek 4: | ||
| Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení. | Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení. | ||
| - | Je nutné upravit ''sites-enabled/inner-tunnel'', v sekci ''authorize{}'' změnit ''-ldap'' na ''ldap'' a v sekci ''authenticate{}'' odkomentovat podsekci ''Auth-Type LDAP {}'': | + | Je nutné upravit ''sites-enabled/inner-tunnel'', v sekci ''authorize{}'' změnit ''-ldap'' na ''ldap'': |
| - | <xterm> | + | <code> |
| authorize { | authorize { | ||
| ... | ... | ||
| Řádek 12: | Řádek 12: | ||
| } | } | ||
| ... | ... | ||
| - | authenticate { | + | </code> |
| - | ... | + | |
| - | Auth-Type LDAP { | + | Pokud chcete krom EAPu povolit i autentizaci pomocí PAP/CHAP (pro weblogin systémy, jinak nedporučujeme) je třeba v ''sites-enabled/default'', v sekci ''authorize{}'' odkomentovat ''ldap'' a volat ho podmíněně jen pro vaše vlastní realmy, jinak vám bude FreeRADIUS hledat v LDAPu i cizí uživatele: |
| - | ldap | + | |
| + | <code> | ||
| + | authorize { | ||
| + | .. | ||
| + | if (&User-Name =~ /@domaci-realm.cz/ || &User-Name =~ /@domaci-realm.eu/) { | ||
| + | ldap | ||
| } | } | ||
| ... | ... | ||
| } | } | ||
| - | </xterm> | + | </code> |
| - | Nastavení přístupu k LDAP serveru se provádí v souboru ''/etc/freeradius/mods-available'': | + | Nastavení přístupu k LDAP serveru se provádí v souboru ''/etc/freeradius/mods-available/ldap'': |
| - | <xterm> | + | <code> |
| - | server = "ldaps:/ /ldap.<moje_domena>.cz" # mezera mezi lomitky v ldaps uri byt nema, pridana kvuli chybe xterm pluginu do dokuwiki | + | server = "ldaps://ldap.<moje_domena>.cz" |
| identity = "uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz" # proxy uzivatel s pravy cist radius heslo | identity = "uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz" # proxy uzivatel s pravy cist radius heslo | ||
| password = <proxy_heslo> # proxy uzivatel heslo | password = <proxy_heslo> # proxy uzivatel heslo | ||
| Řádek 30: | Řádek 36: | ||
| control:Cleartext-Password := 'radiusPassword' # atribut obsahujici eduroam heslo | control:Cleartext-Password := 'radiusPassword' # atribut obsahujici eduroam heslo | ||
| } | } | ||
| - | </xterm> | + | </code> |
| V sekci ''tls{}'' nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru. | V sekci ''tls{}'' nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru. | ||
| - | <xterm> | + | <code> |
| ca_file = <ca_ldaps.pem> | ca_file = <ca_ldaps.pem> | ||
| - | </xterm> | + | </code> |
| Volba ''require_cert'' by měla být nastavena na ''demand''. | Volba ''require_cert'' by měla být nastavena na ''demand''. | ||
| Řádek 41: | Řádek 47: | ||
| Po nastavení je potřeba ldap modul aktivovat. | Po nastavení je potřeba ldap modul aktivovat. | ||
| V adresáři ''/etc/freeradius/mods-enabled'' vytvořte symbolický link: | V adresáři ''/etc/freeradius/mods-enabled'' vytvořte symbolický link: | ||
| - | <xterm> | + | <code> |
| cd /etc/freeradius/mods-enabled | cd /etc/freeradius/mods-enabled | ||
| ln -s ../mods-available/ldap | ln -s ../mods-available/ldap | ||
| - | </xterm> | + | </code> |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz