質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

受付中

freeradiusからactive directoryのユーザー上手く参照できない。

pero012
pero012

総合スコア9

LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

1回答

0評価

0クリップ

690閲覧

投稿2022/02/20 10:57

前提・実現したいこと

freeradius + LDAPで、 active directory上のユーザーを参照し、radius認証を行いたい

発生している問題・エラーメッセージ

ユーザが見つからないといわれてしまう。
LDAPMessage searchResDone(3) noSuchObject (0000208D: NameErr: DSID-0310021F, problem 2001 (NO_OBJECT), data 0, best match of:

試したこと

環境
activedirectoy サーバー
ip add : 10.1.0.212/16
free radius サーバー
ip add : 10.1.0.244/16

free radiusにLDAPの設定を入れて、再起動をかけました。
問題なく再起動ができているので、ldapの設定が正しいと判断。

radtestで active directoryのユーザー情報を入れて認証できるか確認
→ここで通らない。
[root@ip-10-1-0-244 mods-enabled]# radtest taro Zaq1xsw2 localhost 123 testing123
Sent Access-Request Id 129 from 0.0.0.0:40595 to 127.0.0.1:1812 length 74
User-Name = "taro"
User-Password = "Zaq1xsw2"
NAS-IP-Address = 10.1.0.244
NAS-Port = 123
Message-Authenticator = 0x00
Cleartext-Password = "Zaq1xsw2"
Received Access-Reject Id 129 from 127.0.0.1:1812 to 0.0.0.0:0 length 20
(0) -: Expected Access-Accept got Access-Reject

念のため、wiresharkにてAD側にLDAP通信が入っているか確認
→通信走っているが、そんなユーザはいないといわれる。
イメージ説明

AD側の設定
イメージ説明

/etc/raddb/mods-available/ldapの設定
ldap {
# ADサーバと検索用ユーザの情報、ログイン許可するセキュリティグループを記載します
# もとの記載がある箇所はコメントアウトしておきます。
server = 10.1.0.212
identity = 'CN=ldap proxy,OU=employee,DC=AD,DC=test'
password = 'Zaq1xsw2'
base_dn = 'ou=employee,dc=AD,dc=test'
ldapgroup = 'cn=management,ou=employee,dc=AD,dc=test'

# ユーザオブジェクトを確認するセクションでログイン許可するグループでフィルタします。 user { # もともとの filter 条件はコメントアウトしておきます。 #filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" filter = "(|(&(samaccountname=%{%{Stripped-User-Name}:-%{User-Name}})(memberOf=${..ldapgroup})))" }

}

補足情報(FW/ツールのバージョンなど)

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

TaichiYanagiya

2022/02/21 02:57

OS, freeradius のバージョンを教えてください。 また、ldapsearch コマンドでユーザーを参照できますでしょうか? 「ldapsearch -x -h 10.1.0.212 -D 'CN=ldap proxy,OU=employee,DC=AD,DC=test' -W -b 'ou=employee,dc=AD,dc=test' '(|(&(samaccountname=taro)(memberOf=cn=management,ou=employee,dc=AD,dc=test)))'」 あと、認証方法も気になりますが、別途。
pero012

2022/02/21 08:26

コメントありがとうございます。 radius-clinet側: Amazon Linux release 2 (Karoo) freeradius : FreeRADIUS Version 3.0.13 ldapsearchの結果です。こちらできているという認識でおります。 # extended LDIF # # LDAPv3 # base <ou=employee,dc=AD,dc=test> with scope subtree # filter: (|(&(samaccountname=taro)(memberOf=cn=management,ou=employee,dc=AD,dc=test))) # requesting: ALL # # suzuki taro, employee, AD.test dn: CN=suzuki taro,OU=employee,DC=AD,DC=test objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: suzuki taro ~~省略~~ # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 ーーー freeradius側の設定は LDAP有効化していなく、 認証方法は, radtestだとPAPしか使えないようなので、すべてデフォルトのまま EAP-md5のPAPだと思います。 よろしくお願いいたします。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。