Freeradius podporuje eDirectory Universal Password, je však nutné zkompilovat freeradius s volbou –with-edir
a eDirectory patřičně nakonfigurovat.
V souboru debian/rules
ve zdrojových kódech přidejte ./configure
volbu –with-edir
:
./configure $(confflags) \ --config-cache \ .. --with-edir \ --with-raddbdir=$(raddbdir) \ ..
Ve stejném adresáři spusťte příkaz na vygenerování deb balíčků:
fakeroot dpkg-buildpackage -b -uc
Nainstalujte potřebné balíčky.
Soubor /etc/freeradius/sites-available/default
by ldap volby měl mít nastaven takto:
authorize { .. ldap .. } post-auth { .. ldap .. Post-Auth-Type REJECT { -sql ldap eap remove_reply_message_if_eap } }
Soubor /etc/freeradius/sites-available/inner-tunnel
by ldap volby měl mít nastaven takto:
authorize { .. ldap .. } post-auth { .. ldap .. Post-Auth-Type REJECT { -sql ldap #attr_filter.access_reject # musi byt zakomentovan } }
Nastavení modulu ldap v souboru /etc/freeradius/mods-available/ldap
:
server = "ldaps://<server>.<domena>.cz" # URI ukazujici na edirectory server identity = "cn=<proxy_ucet>,ou=is,o=<organizace>" # ucet s opravnenim cist Universal Password password = <proxy_heslo> # heslo k proxy uctu base_dn = "ou=idm,o=<organizace>" # Base DN, kde hledat uzivatele user { .. filter = "(cn=%{%{Stripped-User-Name}:-%{User-Name}})" # ve filtru musi byt cn (misto bezneho uid) .. } edir = yes edir_autz = yes tls { .. ca_file = <ca_ldaps.pem> require_cert = "demand" .. }