FreeRADIUS изменить домен пользователя

Я работал над проектом по настройке FreeRADIUS с Google Authenticator для целей двухфакторной аутентификации.

Я использовал это руководство.

Все работает хорошо, я даже написал сценарии для генерации и отправки QR-кодов пользователям по электронной почте, но есть еще одно препятствие, которое я хотел бы преодолеть.

Например:

Скажем, наш домен AD - это my.domain.com, и я аутентифицирую FreeRADIUS с именем пользователя [email protected], все работает нормально. Проблема в том, что наше решение RAS иногда не всегда отправляет полный домен FreeRADIUS. В журналах я бы увидел имя пользователя как user @ my (доменное имя до 2000 года). Естественно, это не удается.

Я пытаюсь заставить FreeRADIUS уловить это и заменить @my на @ my.domain.com.

Другой вариант - перенастроить всех клиентов RAS, и, поскольку почти все они используются удаленно, это было бы непрактично.

Я уверен, что FreeRADIUS справится с этим, может ли кто-нибудь мне помочь?


active-directory google-authenticator freeradius
person icoleman.uk    schedule 06.10.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Хорошо понял.

На всякий случай, если кому-то еще нужно знать, вот что я сделал.

Я добавил следующее в / etc / raddb / hints (может отличаться в зависимости от дистрибутива, но я использую CentOS 7)

DEFAULT Suffix == "@my", Strip-User-Name = No
     User-Name := "%{User-Name}.domain.com"


DEFAULT User-Name !~ ".*@"
     User-Name := "%{User-Name}@my.domain.com"

Первая запись проверяет, является ли суффикс ПРОСТО @my, и добавляет .domain.com к имени пользователя, если это так.

Вторая запись проверяет, присутствует ли @, и, если нет, добавляет @ my.domain.com к имени пользователя. Это оказалось дополнительным требованием, не упомянутым выше.

Надеюсь, это кому-то пригодится. Теперь работает как шарм.

person icoleman.uk    schedule 14.11.2017