Ldap

在請求先前(成功)訪問另一個 Radius 伺服器後請求訪問 Radius 伺服器

  • October 28, 2019

我不知道這個想法是否毫無意義,但我想知道這是否可能。我有一個由 LDAP 伺服器支持的 FreeRadius 伺服器,它使用 EAP-TTLS(即使用者名+密碼)進行身份驗證。因此,當使用者連接到 802.1x 交換機時,通過查詢使用者名+密碼的請求者連接來授予他們訪問權限,這些請求者連接在 LDAP 伺服器中。這部分沒問題。

但是我想要的是,一旦授予此使用者,通過客戶端證書區分“普通”使用者和“管理員”使用者,該證書將被 LDAP 伺服器作為屬性引用,以便從任何合適的位置下載(a NFS 伺服器,例如),但前提是該使用者的類型為“admin”。然後,將使用該客戶端證書(我不知道如何,這就是問題所在)要求訪問另一個 FreeRadius 伺服器,在這種情況下,它將使用 EAP-TLS 方法,因此“管理員”使用者將被授予另一個網路的一部分(那裡會有另一種合理的伺服器),而“普通”使用者則不會。

總之:我希望有一個 FreeRadius 伺服器來授予訪問使用者對區域網路的第一個“視圖”以及另一個 FreeRadius 伺服器(由前者代理?),這將允許訪問區域網路上的另一個“更秘密”區域,具體取決於在使用者身上。這可能嗎?

非常感謝!!

在一個完美的世界中,您可以使用支持帶內提供憑據(如 X509 證書)的 EAP 方法(如 TEAP)來執行您所描述的操作。不幸的是,EAP-TEAP 及其前身 EAP-FAST 尚未得到廣泛實施。

我知道您只是以此為例,但我絕對不會使用 NFS。即使請求方主機支持 NFS,也需要手動配置。鑑於 HTTP(S) 的廣泛支持和使用者熟悉度,我想說 HTTP(S) 是獲取證書訪問權限的更明顯選擇。

嘗試創建某種身份驗證後配置機制將非常困難。辨識使用憑據登錄的管理員並為他們分配一個 VLAN 是相當簡單的,該 VLAN 只提供對有圍牆的花園的訪問(他們可以在那裡下載他們的管理員證書)。問題是圍牆花園本身正變得越來越成問題。

更多網站正在切換到“預設安全”,這意味著使用者進行的初始連接嘗試很可能是通過 https。不可能以與 http 流量相同的方式重定向/重寫 https 流量,因此很難以無縫方式將使用者引導到圍牆花園的登錄頁面。如果您確實想嘗試一個有圍牆的花園,您需要驗證它是否適用於您的目標作業系統上的有線連接。

關於為不同的 EAP 方法使用不同的 RADIUS 伺服器,這不是必需的。EAP 提供了一種方法協商機制。FreeRADIUS 中的相同 EAP 模組可以執行 EAP-TTLS 或 EAP-TLS。如果 EAP 模組預設請求 EAP-TLS,並且請求者有可用的證書並配置了 EAP-TLS,則 EAP-TLS 將執行,否則請求者將協商 EAP-TTLS,而 EAP-TTLS 將執行。

老實說,在初始身份驗證後提供憑據對於幫助台來說似乎是一場噩夢。即使管理員設法訪問、下載和導入他們的證書,他們也需要手動重新配置他們的請求者以使用它。

如果我要實現這個,我會完全放棄基於使用者名/密碼的身份驗證,而是使用cloudpath(現在的 Ruckus)和其他人提供的可分解安裝程序之一。作為同一操作的一部分,這些臨時應用程序可以為網路介面提供使用者證書和配置安全配置文件。您將通過公共網站提供可分解的安裝程序,並在引導期間將使用者指向它。

所有使用者都將擁有類似的入職體驗,但可以通過特殊的 OID 或使用不同的中間 CA 為管理員提供一個證書來辨識他們。

引用自:https://serverfault.com/questions/989512