joachim
08.09.10, 08:58
Hallo,
ich habe hier in meiner Arbeit folgende Problemstellung: Es gibt verschiedene Netzwerke, in denen jeweils verschiedene Router, Switches und Firewalls stehen. Für eines dieser Netzwerke wurde vor längerer Zeit ein Server mit Freeradius und MySQL aufgesetzt, jedoch nur provisorisch, und es wurden dabei nur User und Usergruppen in der Datenbank abgespeichert - Geräte waren beim Radius in der client.conf gespeichert.
Ich habe daher vor nun doch schon längerer Zeit die Aufgabe bekommen, global für alle Netzwerke einen (oder mehrere redundante - was dann auch egal wäre) Server mit Freeradius aufzusetzen, und dazu im Hintergrund Openldap einzusetzen. Es sollen dabei sowohl alle User, als auch alle Geräte im ldap-tree abgebildet werden, und außerdem Gruppen für Netzwerke, für die verschiedenen Geräte darin und für verschiedene Arten von Usern angelegt werden. Ich persönlich würde aufgrund der vielen m:n Beziehungen eher zu einer SQL-Datenbank greifen, aber mein Abteilungsleiter und dessen Vorgesetzte haben sich eingebildet, dass wir ldap brauchen.
Mein IST-Stand ist nun, dass ein Openldap-Server läuft, und der tree, soweit ich das beurteilen kann, fertig ist. Ich hatte früher nie mit ldap gearbeitet, hab allerdings in den letzten Wochen eine Menge Zeit in Lesen und Herumprobieren gesteckt.
Freeradius läuft ebenfalls, und eine einfache Authentifizierung eines Users ist bereits möglich.
Ich hänge nun allerdings an zwei Punkten, bei denen ich mich mittlerweile ernsthaft frage, ob das mit Freeradius überhaupt möglich ist:
1. Wie bringt man Freeradius dazu, wegen den Geräten über ldap nachzufragen, anstatt in die client.conf zu schauen?
2. Ist es möglich, Freeradius so einzustellen, dass er verschiedene Gruppen bei ldap zulässt, die noch dazu dynamisch sein können? Sprich, es werden keine Gruppen in den Configfiles definiert, sodass man jederzeit bei openldap ganze Netzwerke, Gerätegruppen und Usergruppen hinzufügen kann...
Kann mir jemand von euch ein paar Tipps geben, ob das in der Form überhaupt möglich ist, und wo man möglicherweise weitere Informationen dazu findet?
Das Wiki von Freeradius gibt ja nicht gerade viel her, und auch sonst findet man über google kaum was sinnvolles dazu.
ich habe hier in meiner Arbeit folgende Problemstellung: Es gibt verschiedene Netzwerke, in denen jeweils verschiedene Router, Switches und Firewalls stehen. Für eines dieser Netzwerke wurde vor längerer Zeit ein Server mit Freeradius und MySQL aufgesetzt, jedoch nur provisorisch, und es wurden dabei nur User und Usergruppen in der Datenbank abgespeichert - Geräte waren beim Radius in der client.conf gespeichert.
Ich habe daher vor nun doch schon längerer Zeit die Aufgabe bekommen, global für alle Netzwerke einen (oder mehrere redundante - was dann auch egal wäre) Server mit Freeradius aufzusetzen, und dazu im Hintergrund Openldap einzusetzen. Es sollen dabei sowohl alle User, als auch alle Geräte im ldap-tree abgebildet werden, und außerdem Gruppen für Netzwerke, für die verschiedenen Geräte darin und für verschiedene Arten von Usern angelegt werden. Ich persönlich würde aufgrund der vielen m:n Beziehungen eher zu einer SQL-Datenbank greifen, aber mein Abteilungsleiter und dessen Vorgesetzte haben sich eingebildet, dass wir ldap brauchen.
Mein IST-Stand ist nun, dass ein Openldap-Server läuft, und der tree, soweit ich das beurteilen kann, fertig ist. Ich hatte früher nie mit ldap gearbeitet, hab allerdings in den letzten Wochen eine Menge Zeit in Lesen und Herumprobieren gesteckt.
Freeradius läuft ebenfalls, und eine einfache Authentifizierung eines Users ist bereits möglich.
Ich hänge nun allerdings an zwei Punkten, bei denen ich mich mittlerweile ernsthaft frage, ob das mit Freeradius überhaupt möglich ist:
1. Wie bringt man Freeradius dazu, wegen den Geräten über ldap nachzufragen, anstatt in die client.conf zu schauen?
2. Ist es möglich, Freeradius so einzustellen, dass er verschiedene Gruppen bei ldap zulässt, die noch dazu dynamisch sein können? Sprich, es werden keine Gruppen in den Configfiles definiert, sodass man jederzeit bei openldap ganze Netzwerke, Gerätegruppen und Usergruppen hinzufügen kann...
Kann mir jemand von euch ein paar Tipps geben, ob das in der Form überhaupt möglich ist, und wo man möglicherweise weitere Informationen dazu findet?
Das Wiki von Freeradius gibt ja nicht gerade viel her, und auch sonst findet man über google kaum was sinnvolles dazu.