Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Freeradius para autenticar usuarios administradores

    Español
    1
    2
    1639
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      ludifrita last edited by

      Buenos días.
      Estoy empezando a utilizar Pfsense y me interesa la parte del Freeradius para autenticar exclusivamente usuarios administradores de equipos de red.

      La configuración básica por la cual cualquier usuario de dominio hace login en los dispositivos de red funciona perfectamente, configurando la parte LDAP -> GENERAL CONFIGURATION - SERVER 1, configurando Server, Identity, Basedn, etc…

      El problema es que no funciona ninguno de los filtros que he utilizado para que sólo autentique a usuarios
      pertenecientes a un grupo en concreto del directorio activo: NetworkAdmin.

      Para cada usuario administrador la idea es cambiar el parámetro Service-Type = Administrative-User para lo cual
      utilizo la siguiete sintaxis en el fichero /etc/raddb/users

      DEFAULT Ldap-Group == “NetworkAdmin”
              Service-Type := Administrative-User,
        Reply-Message  = “Welcome Administrator”

      DEFAULT Auth-Type := Reject
        Reply-Message  = “Not allowed”

      "Si pertence al grupo de directorio activo Network Admin el Service Type pasa a ser el de un usuario
      con privilegios. En caso contrario, otro parámetro se modifica Auth-Type y se rechaza su entrada."
      Esta configuración y otras muchas que he probado bastante parecidas las he encontrado en foros, parece que todas están dirigidas a resolver el mismo problema que tenemos aquí: distinguir usuarios admin del resto.

      Además añado el filtro en la parte de configuracion LDAP en el parámetr groupmembership_filter
      radiusd.conf
      […]
                    groupname_attribute = cn
                    groupmembership_filter = "(&(cn=NedworkAdmin)(|(&(objectClass=group)(member=%{Ldap-UserDn}))(&(objectClass=top)(uniquemember=%{Ldap-UserDn}))))"
                    groupmembership_attribute = memberOf

      […]

      He utilizado este filtro porque se incluye una comprobación del grupo (cn=NedworkAdmin)
      También este ejemplo y otro muchos están disponibles en foros, pero no me funcionan.

      Muchas gracias por vuestra ayuda, cualquiera que pueda ser. Cuando encontremos la solución lo pondré en el foro, estoy segura que este problema se lo ha encontrado mucha gente.

      1 Reply Last reply Reply Quote 0
      • L
        ludifrita last edited by

        Al final he tirado por la calle de enmedio, abandono la comprobación de grupo. Los usuarios que estén dados de alta en el freeradius de pfsense entran y el resto no. La comprobación de usuarios es secuencial y al llegar al final de la lista encuentra el reject:

        /usr/local/etc/raddb/users

        "user1" Cleartext-Password := ""
                Service-Type := Administrative-User
        "user2" Cleartext-Password := ""
                Service-Type := Administrative-User
        "user2" Cleartext-Password := ""
                Service-Type := Administrative-User
        DEFAULT Auth-Type := Reject

        Al añadir nuevos usuarios con el menu de pfsense se pisa esa última linea, que hay que incluir editándo /usr/local/etc/raddb/users

        Espero que sirva a alguien.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post