Q&A
前提・実現したいこと
大学にて現在、freeradiusを用いた認証周りについて触ってます。
freeradiusとldapの連携ができるようなので、新サーバを立てて試してみたのですが
セキュリティ上問題があると指摘されました。
ログを確認したところ、
新規で作ったradiusサーバでは
dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp"
での認証のみとなっています。
参考に貰った、旧radiusサーバを使ったログでは、
dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp"
での認証がされていました。
現在、freeradius関連についてはデフォルトの状態でサーバが構築されていますが、
上記の旧サーバの通り、ユーザ(uid)ごとの認証フローに設定したいです。
しかしhpのマニュアル等を読んでみているのですが、見当もつかない状態です…。
新旧サーバにてfreeradiusのバージョンが違って、ldap周りも大きな変更があったようなので
旧サーバのコンフィグ等々を配置しても動作しませんでした。
現在のデフォルト状態のコンフィグから、どのあたりを編集すればよろしいのでしょうか。
もし、経験のあるお方、ご存知の方がいらっしゃいましたらご教示お願いします…。
※新たに構築したradiusサーバで認証した場合のログと、参考にいただいた旧radiusサーバでの認証ログを添付します。
発生している問題・エラーメッセージ
・ldapサーバログ :新サーバにて認証成功時 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=** err=0 text= ・ldapサーバログ :新サーバにて認証失敗時(pw間違ったとき) 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="cn=proxyagent,ou=profile,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=0 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 SRCH base="dc=dcname**,dc=ccc,dc=jp" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=tarou))" 日時 ldapサーバホスト名 slapd: conn=22*** op=1 ENTRY dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" 日時 ldapサーバホスト名 slapd: conn=22*** op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=2 BIND anonymous mech=implicit ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=2 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=2 RESULT tag=97 err=49 text= ・ldapサーバログ :旧サーバにて認証成功時 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" mech=SIMPLE ssf=0 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=0 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 UNBIND 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** closed ・ldapサーバログ :旧サーバにて認証失敗時(pw間違ったとき) 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** ACCEPT from IPアドレス (IP=0.0.0.0:389) 日時 ldapサーバホスト名 slapd: conn=22*** op=0 BIND dn="uid=tarou,ou=people,dc=dcname**,dc=ccc,dc=jp" method=128 日時 ldapサーバホスト名 slapd: conn=22*** op=0 RESULT tag=97 err=49 text= 日時 ldapサーバホスト名 slapd: conn=22*** op=1 UNBIND 日時 ldapサーバホスト名 slapd: conn=22*** fd=*** closed
環境
[root@radiussv05 mods-available]# radiusd -v
radiusd: FreeRADIUS Version 3.0.13, for host x86_64-redhat-linux-gnu,
built on May 16 2018 at 06:33:35
FreeRADIUS Version 3.0.13
Copyright (C) 1999-2017 The FreeRADIUS server project and contributors
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License
For more information about these matters, see the file named COPYRIGHT
回答1件
0
CentOS7 であれば /etc/raddb/mods-available/ldap の filter ルールを見直す必要があると思います。
投稿2018/11/18 07:55
総合スコア2840
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/11/18 08:09
2018/11/18 08:17