Erstmal Hallo an das ganze Forum,
mein Heimserver soll durch die neue DS414 Box ersetzt werden.
Dazu benötige ich aber einen Radiusserver , der alle Benutzer (liegen im LDAP), authorisiert. Z.B. für den WLAN Access Point. <- Das funktioniert auch soweit wunderbar.
Jetzt benötige ich aber zusätzlich noch die auth. mittels users-File (mod files), da mein Switch für einige Netzwerkkomponenten dynamisch vlans verteilt.
Mein Problem ist, dass ich es nicht schaffe, dass der FreeRadius server die mac adressen der geräte (also dessen "usernamen") nicht im ldap nachschlägt. Ich habe in den configs rad_site_def_ldap und rad_site_inn_ldap zum testen sogra einmal alle module auskommentiert. Trotzdem versucht er es im ldap.
Habe fast das gefühl, dass ein zusätzliche script einkompiliert wurde ?!?!
Wenn ich zum Testen den user im ldap anlege (mac adresse), dann funktioniert alles und er +bermittelt auch die infos aus der users Datei (vlan etc.).
Da man die ldap user aber nicht aus der gruppe users@domain heraus nehmen kann und sich jeder theoretisch dann mit den mac adressen einloggen könnte (da das passort ja das gleiche wie der name ist - in diesem fall), ist das keine Option.
Vielleicht hat jemand eine Idee !
Gruß Tobi
P.S.
habe bereits folgendes in den files(rad_site_def_ldap und rad_site_inn_ldap) versucht :
authorize {
...
ldap {
fail = 1
}
if(fail) {
files
}
...
}
authenticate {
...
Auth-Type LDAP {
redundant {
ldap
eap / pap / files
}
}
...
}
Offensichtlich funktioniert meine Konfiguration. Wenn ich einen Benutzernamen aus dem ldap wähle, aber ein falsches passwort eingebe, so schaut er in dem users file nach.
Scheinbar wird das script "synouser --get <name>" ausgeführt , noch bevor die ldap configs zum tragen kommen.
mein Heimserver soll durch die neue DS414 Box ersetzt werden.
Dazu benötige ich aber einen Radiusserver , der alle Benutzer (liegen im LDAP), authorisiert. Z.B. für den WLAN Access Point. <- Das funktioniert auch soweit wunderbar.
Jetzt benötige ich aber zusätzlich noch die auth. mittels users-File (mod files), da mein Switch für einige Netzwerkkomponenten dynamisch vlans verteilt.
Mein Problem ist, dass ich es nicht schaffe, dass der FreeRadius server die mac adressen der geräte (also dessen "usernamen") nicht im ldap nachschlägt. Ich habe in den configs rad_site_def_ldap und rad_site_inn_ldap zum testen sogra einmal alle module auskommentiert. Trotzdem versucht er es im ldap.
Habe fast das gefühl, dass ein zusätzliche script einkompiliert wurde ?!?!
Wenn ich zum Testen den user im ldap anlege (mac adresse), dann funktioniert alles und er +bermittelt auch die infos aus der users Datei (vlan etc.).
Da man die ldap user aber nicht aus der gruppe users@domain heraus nehmen kann und sich jeder theoretisch dann mit den mac adressen einloggen könnte (da das passort ja das gleiche wie der name ist - in diesem fall), ist das keine Option.
Vielleicht hat jemand eine Idee !
Gruß Tobi
P.S.
habe bereits folgendes in den files(rad_site_def_ldap und rad_site_inn_ldap) versucht :
authorize {
...
ldap {
fail = 1
}
if(fail) {
files
}
...
}
authenticate {
...
Auth-Type LDAP {
redundant {
ldap
eap / pap / files
}
}
...
}
Offensichtlich funktioniert meine Konfiguration. Wenn ich einen Benutzernamen aus dem ldap wähle, aber ein falsches passwort eingebe, so schaut er in dem users file nach.
Scheinbar wird das script "synouser --get <name>" ausgeführt , noch bevor die ldap configs zum tragen kommen.
Zuletzt bearbeitet: