Toto je starší verze dokumentu!
Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení.
Je nutné upravit sites-enabled/inner-tunnel
, v sekci authorize{}
změnit -ldap
na ldap
:
authorize { ... ldap ... } ...
Pokud chcete krom EAPu povolit i autentizaci pomocí PAP/CHAP (pro weblogin systémy, jinak nedporučujeme) je třeba v sites-enabled/default
, v sekci authorize{}
odkomentovat 'ldap a volat ho podmíněně jen pro vaše vlastní realmy, jinak vám bude FreeRADIUS hledat v LDAPu i cizí uživatele:
<code>
authorize {
if (&User-Name =~ /@domaci-realm.cz/ || &User-Name =~ /@domaci-realm.eu/) {
ldap
}
}
</code>
Nastavení přístupu k LDAP serveru se provádí v souboru
/etc/freeradius/mods-available:
<code>
server = „ldaps:ldap.<moje_domena>.cz“
identity = „uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz“ # proxy uzivatel s pravy cist radius heslo
password = <proxy_heslo> # proxy uzivatel heslo
base_dn = „ou=People,dc=<moje_domena>,dc=cz“ # Base DN, kde hledame uzivatele
update {
control:Cleartext-Password := 'radiusPassword' # atribut obsahujici eduroam heslo
}
</code>
V sekci
tls{}
nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru.
<code>
ca_file = <ca_ldaps.pem>
</code>
Volba require_cert
by měla být nastavena na demand
.
Po nastavení je potřeba ldap modul aktivovat.
V adresáři /etc/freeradius/mods-enabled
vytvořte symbolický link:
<code>
cd /etc/freeradius/mods-enabled
ln -s ../mods-available/ldap
</code>
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz