前提・実現したいこと
大学にて現在、freeradiusを用いた認証周りについて触ってます。
freeradiusとldapの連携ができるようなので、新サーバを立てて試してみたのですが
セキュリティ上問題があると指摘されました。
ログを確認したところ、
新規で作ったradiusサーバでは
dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp"
での認証のみとなっています。
参考に貰った、旧radiusサーバを使ったログでは、
dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp"
での認証がされていました。
現在、freeradius関連についてはデフォルトの状態でサーバが構築されていますが、
上記の旧サーバの通り、ユーザ(uid)ごとの認証フローに設定したいです。
しかしhpのマニュアル等を読んでみているのですが、見当もつかない状態です…。
新旧サーバにてfreeradiusのバージョンが違って、ldap周りも大きな変更があったようなので
旧サーバのコンフィグ等々を配置しても動作しませんでした。
現在のデフォルト状態のコンフィグから、どのあたりを編集すればよろしいのでしょうか。
もし、経験のあるお方、ご存知の方がいらっしゃいましたらご教示お願いします…。
※新たに構築したradiusサーバで認証した場合のログと、参考にいただいた旧radiusサーバでの認証ログを添付します。
発生している問題・エラーメッセージ
・ldapサーバログ :新サーバにて認証成功時 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=** err=0 text= ・ldapサーバログ :新サーバにて認証失敗時(pw間違ったとき) 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=0 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 SRCH base="dc=dcname**,dc=ccc,dc=jp" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=tarou))" 日時 ldapサーバホスト名 slapd: conn=22*** op=1 ENTRY dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" 日時 ldapサーバホスト名 slapd: conn=22*** op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=2 BIND anonymous mech=implicit ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=2 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=2 RESULT tag=97 err=49 text= ・ldapサーバログ :旧サーバにて認証成功時 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=0 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 UNBIND 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** closed ・ldapサーバログ :旧サーバにて認証失敗時(pw間違ったとき) 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=49 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 UNBIND 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** closed
環境
[root@radiussv05 mods-available]# radiusd -v
radiusd: FreeRADIUS Version 3.0.13, for host x86_64-redhat-linux-gnu,
built on May 16 2018 at 06:33:35
FreeRADIUS Version 3.0.13
Copyright (C) 1999-2017 The FreeRADIUS server project and contributors
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License
For more information about these matters, see the file named COPYRIGHT
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/11/18 08:09
2018/11/18 08:17