メインメニュー

連続稼働時間

本サーバは
38日間と23時間44分
連続稼動しています

広告

トップ  >  CentOS・Fedora  >  RADIUS  >  FreeRADIUS2構築とLDAP連携 [CentOS5.5]

ここではFreeRADIUS2の構築とそのユーザ認証にLDAPを使う設定を行っていきます。

初めにFreeRADIUS2とモジュール等をインストールします。 

#yum -y install freeradius2 freeradius2-utils freeradius2-ldap                                         

 

インストールが完了したら設定を行っていきます。

初めにclients.confを設定します。

#vi /etc/raddb/clients.conf

 clients.confには認証にくる機器のアドレスを設定します。例として192.168.10.100の機器が認証に来るとして設定します。

黄文字部分が追記箇所です。

 

#client 192.168.0.0/16 {

#            secret                   = testing123-2

#            shortname           = private-network-2

#}

client  192.168.10.100 {

              secret                   = secret

              shortname           = test

}

 

#client 10.10.10.10 {

#            # secret and password are mapped through the "secrets" file.

#            secret      = testing123

#            shortname   = liv1

#       # the following three fields are o
secretは認証にくる機器と合わせるようにしてください。
 
 
 

次にdictionaryファイルを編集します。

#vi /etc/raddb/dictionary

 dictionaryの最終行に下記黄文字部分を追記します。

 

 

#ATTRIBUTE     My-Local-String                3000      string

#ATTRIBUTE     My-Local-IPAddr         3001      ipaddr

#ATTRIBUTE     My-Local-Integer              3002      integer

VALUE  Auth-Type           LDAP    5
 

 

次にusersファイルを編集します。
 
#vi /etc/raddb/users

 usersファイルに下記黄文字部分を追記します。

 

#DEFAULT

#            Service-Type = Login-User,

#            Login-Service = Rlogin,

#            Login-IP-Host = shellbox.ispdomain.com

 

DEFAULT Auth-Type := LDAP

              Fall-Through = 1

 

# #

# # Last default: shell on the local terminal server.

# #

 

次にmodulesディレクトリ内のldapファイルを編集します。

#vi /etc/raddb/modules/ldap

下記部分を編集。黄文字部分が編集対象になります。ldapサーバがanonymous bindを有効にしていない場合は青文字部分のコメントを外します。赤文字部分はそれぞれの環境に合わせて設定します。

 

#  Setting "Auth-Type = LDAP" is ALMOST ALWAYS WRONG.  We

#  really can't emphasize this enough.

#           

ldap {

              #

              #  Note that this needs to match the name in the LDAP

              #  server certificate, if you're using ldaps.

              server = "192.168.10.200"

              #identity = "cn=cauth,dc=otyanoma,dc=net"

              #password = secret

              basedn = "ou=People,dc=otyanoma,dc=net"

              #base_filter = "(objectclass=radiusprofile)"      

              filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

 

              #  How many connections to keep open to the LDAP server.


 serverの項目はldapサーバのアドレスになります。ここでは192.168.10.200がldapサーバであるとして設定しています。

 identifyとpasswordはldapサーバにsimple bindを行う場合にコメントアウトをします。ここではcauthというアカウント、パスワードをsecretで認証するような設定を入れています。

basednはユーザ検索を行うdnを記述します。ここではPeopleというou内をユーザ検索する設定にしています。

 

次にdefaultファイルを編集します。

#vi /etc/raddb/sites-available/default

下記項目を編集します。青文字部分がコメント化、黄文字部分がコメントアウトする場所です。設定ファイルが長いので一部省略しています。編集箇所に注意してください。

 

authorize {

省略

              #  for the many packets that go back and forth to set up TTLS

              #  or PEAP.  The load on those servers will therefore be reduced.

              #

#            eap {

#                          ok = return

#            }

 

              #

省略

 

              #

              #  The ldap module will set Auth-Type to LDAP if it has not

              #  already been set

              ldap

 

              #

 

省略

#

authenticate {

              #

省略

              # Uncomment it if you want to use ldap for authentication

              #

              # Note that this means "check plain-text password against

              # the ldap database", which means that EAP won't work,

              # as it does not supply a plain-text password.

              Auth-Type LDAP {

                            ldap

              }

authorize内のeapをコメント化。(他設定次第でコメントする必要ないかもしれないが、本検証では時間的な問題もあり、コメント化し動作させている)

同authorize内のldapのコメントをはずします。

次にauthenticate内のAuth-Type LDAP関連のコメントをはずします。

以上で設定は完了です。

 

 

次に動作試験を行います。

下記コマンドを実行しFreeRADIUSをデバッグモードで起動します。

#radiusd -X

 

デバッグモードで起動したら別コンソールで下記コマンドを実行し認証ができるか試験します。ldap上にtest01というユーザ、パスワード1234で登録されていると仮定します。

#radtest test01 1234 localhost 0 testing123

 

Access-Acceptが返ってくれば認証OKです。ctrl+cでデバッグモードを終了します。

下記コマンドでRADIUSサービスを起動し起動時の自動起動も有効にしておきます。

# service radiusd start

# chkconfig radiusd on

プリンタ用画面
投票数:461 平均点:5.38
カテゴリートップ
RADIUS