LDAPとFreeRadiusの連携
とある製品はRadius認証はできるんだけどLDAPのインタフェイスがない。そこでFreeRadiusを入れてLDAPのフロントエンドとして動作させることにしました。
手動での試験まではうまく通ったのでメモ。LDAPでposixAccountでエントリがあり、正常に動作していることが前提です。
FreeRadiusをインストール
ここからソースをダウンロードできます。最新版は1.1.7。インストールは、展開してconfigure,makeでOK。
$ tar -zxvf freeradius-1.1.7.tar.gz $ cd freeradius-1.1.7/ $ ./configure $ make # make install
/etc/passwdで認証させる
まずはファイル認証が通るかどうかをチェックLDAPと連携が取れているかどうかを試す前にradiusdが正常に動作しているかどうかを確認するために、ローカルのファイルで認証が通るかどうかを試験します。
デフォルトでインストールすると、FreeRadiusの設定ファイルは/usr/local/etc/raddb/radiusd.conにあります。これを適当に編集して/etc/passwdとか/etc/shadowなんかを見るようにします。こんな感じ。
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = ${prefix}/var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
log_file = ${logdir}/radius.log
libdir = ${exec_prefix}/lib
pidfile = ${run_dir}/radiusd.pid
#接続クライアントの設定
$INCLUDE ${confdir}/clients.conf
modules {
unix {
cache = no
cache_reload = 600
passwd = /etc/passwd
shadow = /etc/shadow
group = /etc/group
radwtmp = ${logdir}/radwtmp
}
files {
usersfile = ${confdir}/users
acctusersfile =${confdir}/acct_users
compact = no
}
authorize {
files
}
authenticate{
unix
}
radiusd.confと同じディレクトリにusersっていうファイルがあって、このファイル中のデフォルト認証になにを使うかの設定がありますので、これを確認。
DEFAULT Auth-Type = System
Fall-Through = 1これだけ編集したらradiusdをデバッグモードで起動。
# radiusd -X -A (なんかいっぱい) Module: Instantiated files (files) Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests.
別のターミナルからradtestを使って認証が通るかどうかを試験します。
hogehogeがユーザ名、hogepassがパスワード、最後のtesting123ってのは、clients.confファイルに書いてある"secret"の値です。デフォルトインストールだとこの値になっているはず。
$ radtest hogehoge hogepass localhost 0 testing123
Sending Access-Request of id 136 to 127.0.0.1 port 1812
User-Name = "hogehoge"
User-Password = "hogepass"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=140, length=20Access-Acceptで認証OKってことですね。
LDAPと連携させる
まずradiusd.confにのmodules{}内に以下の行を追加。
ldap {
server = "localhost"
port = "389"
basedn = "dc=hoge,dc=com"
filter ="(&(objectclass=posixAccount)(uid=%{Stripped-User-Name:-%{User-Name}}))"
start_tls = yes
}もう一箇所 authenticate{}のところをこんな風に変更。
authenticate{
authtype LDAP {
ldap
}
unix
}さらにusersファイルのデフォルト認証のところをLDAPに変更します。
DEFAULT Auth-Type := LDAP
Fall-Through = 1これでradiusdを再起動。
今度はLDAPにしかエントリがないユーザでradtestを試してみます。
$ radtest hogeldap hogepass localhost 0 testing123
Sending Access-Request of id 136 to 127.0.0.1 port 1812
User-Name = "hogeldap"
User-Password = "hogepass"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=140, length=20やぁ、うまくいきました。radiusdの方のデバッグメッセージにはLDAPと連携してくれるrlm_ldapモジュールからの出力が沢山でています。
modcall: leaving group authorize (returns ok) for request 0 rad_check_password: Found Auth-Type LDAP auth: type "LDAP" Processing the authenticate section of radiusd.conf modcall: entering group LDAP for request 0 rlm_ldap: - authenticate rlm_ldap: login attempt by "hogeldap" with password "hogepass" radius_xlat: '(&(objectclass=posixAccount)(uid=hogeldap))' radius_xlat: 'dc=hoge,dc=com' rlm_ldap: ldap_get_conn: Checking Id: 0 rlm_ldap: ldap_get_conn: Got Id: 0 rlm_ldap: attempting LDAP reconnection rlm_ldap: (re)connect to localhost:389, authentication 0 rlm_ldap: starting TLS rlm_ldap: bind as / to localhost:389 rlm_ldap: waiting for bind result ... rlm_ldap: Bind was successful rlm_ldap: performing search in dc=hoge,dc=com, with filter (&(objectclass=posixAccount)(uid=hogeldap)) rlm_ldap: ldap_release_conn: Release Id: 0 rlm_ldap: user DN: uid=hogeldap,ou=personal,dc=hoge,dc=com rlm_ldap: (re)connect to localhost:389, authentication 1 rlm_ldap: starting TLS rlm_ldap: bind as uid=hogeldap,ou=personal,dc=goge,dc=com/password to localhost:389 rlm_ldap: waiting for bind result ... rlm_ldap: Bind was successful rlm_ldap: user hogeldap authenticated succesfully modcall[authenticate]: module "ldap" returns ok for request 0 modcall: leaving group LDAP (returns ok) for request 0 Sending Access-Accept of id 80 to 127.0.0.1 port 36925
でも「とある製品」からの認証はまだできていないのだ。鋭意調査中です。