Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de.
Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert.
Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können.
Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang.
Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Frage zu Freeradius und LDAP Abfrage
Hallo miteinander,
Ich hoffe jemand kann mir mit meiner Freeradius / LDAP Frage weiterhelfen. Ich versuche gerade das Produkt MobileID von Swisscom zu implementieren (Sourcefiles für MobileID: https://github.com/SCS-CBU-CED-IAM/freeradius-mobileid) auf einem Linux Ubuntu 16.04 Server.
Der Server ist soweit konfiguriert und die Anmeldung funktioniert wenn man sich normal mit Benutzername/Passwort anmeldet. Sofern der Benutzer in der User Datei erfasst ist.
Auf meinem Freeradius Server habe ich unter /etc/freeradius/sites-enabled zwei Dateien, eine davon ist mobileid-config mit folgendem Inhalt:
*****
# This is a sample configuration when a default server entity is present
authorize {
# Cleanups with preprocess
preprocess
# Password handling
chap
mschap
# Suffix handling for realms
suffix
if (Stripped-User-Name != "") {
update request {
User-Name := Stripped-User-Name
}
}
# Read the 'users' from file and validate password
files
pap
# Update request with control values
update request {
Called-Station-Id := "%{control:Called-Station-Id}"
X-MSS-Language := "%{control:X-MSS-Language}"
X-MSS-MobileID-SN := "%{control:X-MSS-MobileID-SN}"
}
# Set Called-Station-Id to User-Name, if not found.
if (!Called-Station-Id || Called-Station-Id == "") {
update request {
Called-Station-Id := "%{User-Name}"
}
}
# # Ensure Auth-Type is set to go over authenticate
# if (control:Auth-Type == "") {
# update {
# control:Auth-Type := "mobileid"
# }
# }
}
authenticate {
Auth-Type PAP {
pap
# Callout Mobile ID after 1st method
mobileid
}
Auth-Type CHAP {
chap
# Callout Mobile ID after 1st method
mobileid
}
Auth-Type MS-CHAP {
mschap
# Callout Mobile ID after 1st method
mobileid
}
Auth-Type LDAP {
# Uncomment it if you want to use ldap for authentication
# ldap
# Callout Mobile ID after 1st method
mobileid
# Optional call to update the user entry
# mobileid-ldapupdate
}
Auth-Type MOBILEID {
# Callout Mobile ID only
mobileid
}
}
post-auth {
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}
******
Im Users File habe ich folgenden Eintrag gemacht:
user1 Cleartext-Password := "12345", Called-Station-Id := +41791234567, X-MSS-Language := de
Mit diesen Angaben funktioniert die Anmeldung.
- Der Freeradius Server prüft BN/PW und sendet danach meine Handynummer an den Telefonanbieter.
- Der Telefonanbieter löst eine Abfrage aus welche ich auf meinem Handy bestätigen muss.
- Wenn die Handyabfrage korrekt ist, kommt ein „Accept“ oder „Deny“ zum Freeradius Server zurück
- Die Anmeldung wird abgeschlossen
Im Moment muss ich jeden Benutzer in der User Datei erfassen mit Passwort und Handynummer. Da wir aber schon LDAP im Einsatz haben, frage ich mich ob es möglich wäre, die Handynummer anhand vom Benutzernamen im LDAP abzufragen. Ich möchte folgendes erreichen:
Der Freeradius Server akzeptiert die Anfrage ohne Passwortabfrage. Der Freeradius Server sollte bei einer Anmeldung folgendes machen: Anhand vom Benutzernamen im LDAP prüfen was für eine Handynummer erfasst ist und diese Angaben an Swisscom MobileID senden. Der Freeradius Server bekommt danach vom Swisscom-MobileID Server eine Antwort mit Accept oder Deny.
Ich weiss jetzt nicht ob diese Konfiguration so überhaupt möglich ist. Kann Freeradius Server überhaupt gehen ohne Passwort Abfrage?
Schon Mal vielen Dank und Gruss
Roberto
Programme »
Gnome openldap löschen
(09.10.2007, 18:25)
