====== Napojení freeRADIUSu na LDAP server ======


Napojení na konkrétní LDAP server se může drobně měnit podle použitého software a nastavení.

Je nutné upravit ''sites-enabled/inner-tunnel'', v sekci ''authorize{}'' změnit ''-ldap'' na ''ldap'':
<code>
authorize {
  ...
  ldap
  ...
}
...
</code>

Pokud chcete krom EAPu povolit i autentizaci pomocí PAP/CHAP (pro weblogin systémy, jinak nedporučujeme) je třeba v ''sites-enabled/default'', v sekci ''authorize{}'' odkomentovat ''ldap'' a volat ho podmíněně jen pro vaše vlastní realmy, jinak vám bude FreeRADIUS hledat v LDAPu i cizí uživatele:

<code>
authorize {
  ..
  if (&User-Name =~ /@domaci-realm.cz/ || &User-Name =~ /@domaci-realm.eu/) {
     ldap
  }
  ...
}
</code>


Nastavení přístupu k LDAP serveru se provádí v souboru ''/etc/freeradius/mods-available/ldap'':
<code>
server = "ldaps://ldap.<moje_domena>.cz"                               
identity = "uid=<proxy_ucet>,ou=Special Users,dc=<moje_domena>,dc=cz"  # proxy uzivatel s pravy cist radius heslo
password = <proxy_heslo>                                               # proxy uzivatel heslo
base_dn = "ou=People,dc=<moje_domena>,dc=cz"                           # Base DN, kde hledame uzivatele
update {
   control:Cleartext-Password      := 'radiusPassword'                 # atribut obsahujici eduroam heslo
}
</code>

V sekci ''tls{}'' nastavte cestu k souboru certifikační autority, která podepsala certifikát LDAP serveru.
<code>
ca_file = <ca_ldaps.pem>
</code>

Volba ''require_cert'' by měla být nastavena na ''demand''.

Po nastavení je potřeba ldap modul aktivovat.
V adresáři ''/etc/freeradius/mods-enabled'' vytvořte symbolický link:
<code>
cd /etc/freeradius/mods-enabled
ln -s ../mods-available/ldap
</code>