Napojení freeRADIUSu v3 na eDirectory server

Freeradius podporuje eDirectory Universal Password, je však nutné zkompilovat freeradius s volbou –with-edir a eDirectory patřičně nakonfigurovat. V souboru debian/rules ve zdrojových kódech přidejte ./configure volbu –with-edir:

./configure $(confflags) \
                --config-cache \
..
               --with-edir \
               --with-raddbdir=$(raddbdir) \
..

Ve stejném adresáři spusťte příkaz na vygenerování deb balíčků:

fakeroot dpkg-buildpackage -b -uc

Nainstalujte potřebné balíčky.

Soubor /etc/freeradius/sites-available/default by ldap volby měl mít nastaven takto:

authorize {
  ..
  ldap
  ..
}

post-auth {
  ..
  ldap
  ..
  Post-Auth-Type REJECT {
    -sql
    ldap
    eap
    remove_reply_message_if_eap
  }
}

Soubor /etc/freeradius/sites-available/inner-tunnel by ldap volby měl mít nastaven takto:

authorize {
  ..
  ldap
  ..
}

post-auth {
  ..
  ldap
  ..
    Post-Auth-Type REJECT {
    -sql
    ldap
    #attr_filter.access_reject  # musi byt zakomentovan
  }
}

Nastavení modulu ldap v souboru /etc/freeradius/mods-available/ldap:

server = "ldaps://<server>.<domena>.cz"                    # URI ukazujici na edirectory server
identity = "cn=<proxy_ucet>,ou=is,o=<organizace>"          # ucet s opravnenim cist Universal Password
password = <proxy_heslo>                                   # heslo k proxy uctu
base_dn = "ou=idm,o=<organizace>"                          # Base DN, kde hledat uzivatele
user {
  ..
  filter = "(cn=%{%{Stripped-User-Name}:-%{User-Name}})"   # ve filtru musi byt cn (misto bezneho uid)
  ..
}
edir = yes
edir_autz = yes

tls {
  ..
  ca_file = <ca_ldaps.pem>
  require_cert    = "demand"
  ..
}