配置 Freeradius 以根據多個 LDAP 組檢查連接使用者

我正在將 Cisco ASA 設置為客戶端 vpn 伺服器。該設備依靠 freeradius 對使用者進行身份驗證。反過來，Freeradius 已被配置為查詢 OpenLDAP。

modules/ldap 文件已配置為使用以下過濾器檢查組所有權（使用屬性 memberUid 將成員列在每個組下）：

groupmembership_filter = "(&(objectClass=posixGroup)(memberUid=%{User-Name}))"

文件 freeradius/users 有這樣的聲明：

DEFAULT LDAP-Group != "cn=unixadm,ou=groups,dc=services,dc=company,dc=com", Auth-Type := Reject

我想使用多個成員資格檢查，例如只允許屬於一組組的使用者。顯然，如果指定了一個以上的組，則 freeradius 會失敗。

我正在尋找一種列出多個組的方法。

freeradius 和 openldap 使用的作業系統是 ubuntu 10.04。

我找到了辦法！freeradius/users 文件必須這樣配置：

DEFAULT LDAP-Group == "cn=unixadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=developers,ou=groups,dc=services,dc=company,dc=com"
DEFAULT LDAP-Group == "cn=routingadm,ou=groups,dc=services,dc=company,dc=com"
DEFAULT Auth-Type := Reject
Reply-Message = "Sorry, you're not part of an authorized group! Ask ITOPS for authorization."

其餘的都是一樣的。經測試可以正常工作！

引用自：https://serverfault.com/questions/387248