在我得到 FreeRadius、samba winbind、帶 ECDSA 證書的 XCA、Active Directory 和 Ubiquiti Unifi 之後，我感覺就像跳上跳下一樣。

下一個問題，ActiveDirectory 中的任何有效帳戶目前都將進行身份驗證。如何將此限制為特定 AD 組的成員？

我想到的一種糟糕的方法是在 post-auth 模組中執行一個 bash 腳本，該腳本執行快速 LDAP 搜尋。會不會有什麼不好的事情發生？

編輯

這是讓一切正常工作的指南！<https://gist.github.com/exabrial/368c279aad65cefd8c5f>

現在，您需要使用rlm_ldap（這將比 bash 腳本快得多）。我們已經討論過公開 winbind 的 API 以進行組查找，但是您需要使用 Samba 3.2.1 和 FreeRADIUS v3.1.x 的建構才能利用已開發的任何功能。

mods-available/ldap由於配置文件有很好的文件記錄，因此我將讓您查看（並完成） 。將其定製到 LDAP 伺服器後，創建一個符號連結 from mods-available/ldaptomods-enabled/ldap以啟用該模組。

要執行組查找，您需要將LDAP-Group屬性與值進行比較，然後做出拒絕使用者的決定。

就像是：

if (LDAP-Group != 'my_group) {
   reject
}

…在內部隧道虛擬伺服器中可以工作。

引用自：https://serverfault.com/questions/738744