Freeradius para autenticar usuarios administradores



  • Buenos días.
    Estoy empezando a utilizar Pfsense y me interesa la parte del Freeradius para autenticar exclusivamente usuarios administradores de equipos de red.

    La configuración básica por la cual cualquier usuario de dominio hace login en los dispositivos de red funciona perfectamente, configurando la parte LDAP -> GENERAL CONFIGURATION - SERVER 1, configurando Server, Identity, Basedn, etc…

    El problema es que no funciona ninguno de los filtros que he utilizado para que sólo autentique a usuarios
    pertenecientes a un grupo en concreto del directorio activo: NetworkAdmin.

    Para cada usuario administrador la idea es cambiar el parámetro Service-Type = Administrative-User para lo cual
    utilizo la siguiete sintaxis en el fichero /etc/raddb/users

    DEFAULT Ldap-Group == “NetworkAdmin”
            Service-Type := Administrative-User,
      Reply-Message  = “Welcome Administrator”

    DEFAULT Auth-Type := Reject
      Reply-Message  = “Not allowed”

    "Si pertence al grupo de directorio activo Network Admin el Service Type pasa a ser el de un usuario
    con privilegios. En caso contrario, otro parámetro se modifica Auth-Type y se rechaza su entrada."
    Esta configuración y otras muchas que he probado bastante parecidas las he encontrado en foros, parece que todas están dirigidas a resolver el mismo problema que tenemos aquí: distinguir usuarios admin del resto.

    Además añado el filtro en la parte de configuracion LDAP en el parámetr groupmembership_filter
    radiusd.conf
    […]
                  groupname_attribute = cn
                  groupmembership_filter = "(&(cn=NedworkAdmin)(|(&(objectClass=group)(member=%{Ldap-UserDn}))(&(objectClass=top)(uniquemember=%{Ldap-UserDn}))))"
                  groupmembership_attribute = memberOf

    […]

    He utilizado este filtro porque se incluye una comprobación del grupo (cn=NedworkAdmin)
    También este ejemplo y otro muchos están disponibles en foros, pero no me funcionan.

    Muchas gracias por vuestra ayuda, cualquiera que pueda ser. Cuando encontremos la solución lo pondré en el foro, estoy segura que este problema se lo ha encontrado mucha gente.



  • Al final he tirado por la calle de enmedio, abandono la comprobación de grupo. Los usuarios que estén dados de alta en el freeradius de pfsense entran y el resto no. La comprobación de usuarios es secuencial y al llegar al final de la lista encuentra el reject:

    /usr/local/etc/raddb/users

    "user1" Cleartext-Password := ""
            Service-Type := Administrative-User
    "user2" Cleartext-Password := ""
            Service-Type := Administrative-User
    "user2" Cleartext-Password := ""
            Service-Type := Administrative-User
    DEFAULT Auth-Type := Reject

    Al añadir nuevos usuarios con el menu de pfsense se pisa esa última linea, que hay que incluir editándo /usr/local/etc/raddb/users

    Espero que sirva a alguien.


Locked