我将Cisco ASA设置为客户端VPN服务器。 该设备依靠freeradius来validation用户。 Freeradius又被configuration为查询OpenLDAP。
modules / ldap文件已被configuration为使用以下filter(每个组下列出的成员使用属性memberUid)检查组的所有权:
groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))" 文件freeradius / users有这样的说法:
DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject
我想使用多个成员资格检查,例如,只允许属于一组组的用户。 显然,如果多于一个组被指定,freeradius就会失败。
我正在寻找一种方法来列出多个组。
用于freeradius和openldap的操作系统是Ubuntu 10.04。
我find了一个方法! freeradius / users文件必须这样configuration:
DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com" DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com" DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com" DEFAULT Auth-Type := Reject Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."
其余的是一样的。 经testing,按预期工作!