[DOT1X] FreeRadius & AD (en LDAP), Prise de tête :D ?
FreeRadius & AD (en LDAP), Prise de tête :D ? [DOT1X] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 19-06-2012 à 10:02:55
a l'aide 
---------------
La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi !
Sujets relatifs:
- Liaison AD site distant dans un Buisiness VPN Orange
- AD 2003 SP2: Stratégie de groupe (champs grisée)
- Droits de sélection groupe AD 2003 inter-domaine
- [RESOLU] replication ldap sous squeeze et Openldap 2.4.23
- Proxy SQUID avec authentification AD
- Proxy SQUID avec authentification AD
- script intégration au domaine AD (windows 7)
- Probleme de prise reseau
Marsh Posté le 18-06-2012 à 09:33:35
Bjr,
j'essaie depuis quelques temps de faire fonctionner FreeRadius et mon Active Directory. Chose facile avec le module ntlm_auth , mais bien plus ardue en mode LDAP.
Je suis obligé de passer en "mode LDAP" car je souhaite attribuer dynamiquement un VLAN en fonction du groupe d'appartenance ActiveDirectory.
Ex: groupe "commerciaux" : VLAN 30
groupe "techniciens" : VLAN 40,
ect ......
j'ai l'authentification (bind)qui est Ok, mais la suite l'est moins
[ldap] performing user authorization for ifi4655
Fri Jun 15 11:33:44 2012 : Info: [ldap] expand: %{Stripped-User-Name} ->
Fri Jun 15 11:33:44 2012 : Info: [ldap] ... expanding second conditional
Fri Jun 15 11:33:44 2012 : Info: [ldap] expand: %{User-Name} -> ifi4655
Fri Jun 15 11:33:44 2012 : Info: [ldap] expand: (&(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})) -> (&(sAMAccountName=ifi4655))
Fri Jun 15 11:33:44 2012 : Info: [ldap] expand: ou=****,dn=****,dn=*****-> ou=Bozouls,dn=DOMEDI,dn=local
Fri Jun 15 11:33:44 2012 : Debug: [ldap] ldap_get_conn: Checking Id: 0
Fri Jun 15 11:33:44 2012 : Debug: [ldap] ldap_get_conn: Got Id: 0
Fri Jun 15 11:33:44 2012 : Debug: [ldap] attempting LDAP reconnection
Fri Jun 15 11:33:44 2012 : Debug: [ldap] closing existing LDAP connection
Fri Jun 15 11:33:44 2012 : Debug: [ldap] (re)connect to srv-ad-006:389, authentication 0
Fri Jun 15 11:33:44 2012 : Debug: [ldap] bind as *****/******* to *********:389
Fri Jun 15 11:33:44 2012 : Debug: [ldap] waiting for bind result ...
Fri Jun 15 11:33:44 2012 : Debug: [ldap] Bind was successful
Fri Jun 15 11:33:44 2012 : Debug: [ldap] performing search in ou=*****,dn=*****,dn=****, with filter (&(sAMAccountName=ifi4655))
Fri Jun 15 11:33:44 2012 : Error: [ldap] ldap_search() failed: Operations error
Fri Jun 15 11:33:44 2012 : Info: [ldap] search failed
Fri Jun 15 11:33:44 2012 : Debug: [ldap] ldap_release_conn: Release Id: 0
Fri Jun 15 11:33:44 2012 : Info: ++[ldap] returns fail
SI dans le module LDAP, je décommente chase_referrals & rebind = yes, j'ai l'authentification qui marche à chaque coup sauf que je n'ai aucune distinction de groupe. genre la recherche se fait dès la racine quel que soit le groupe que je passe en paramètre....
Ci joint mon fichiers users :
DEFAULT Ldap-Group == Commerciaux
Tunnel-Type = VLAN,
Tunnel-Medium-Type= IEEE-802,
Tunnel-Private-Group-Id=30,
Fall-Through = Yes
Merci de votre aide !
---------------
La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi !