Регистрация Войти
Рейтинг:0
Lord Kryx avatar Server

FreeRADIUS — Как использовать прокси-сервер RADIUS на основе IP-адреса источника?

флаг kr
Lord Kryx

В настоящее время я работаю над созданием прокси-решения RADIUS с RHEL и FreeRADIUS.Поскольку я планирую интегрировать это решение с сотнями клиентов RADIUS и серверов RADIUS, функция прокси области в FreeRADIUS покрывает часть случаев использования, и в конечном итоге мы столкнемся с именами пользователей, у которых не будет UID или области, поэтому я подумал о идентификация и проксирование клиентов RADIUS по IP-адресу их источников. На прошлой неделе я искал в Интернете информацию о том, как это сделать, и до сих пор не могу найти подходящих примеров или строк кода о том, как это сделать. Вот что у меня есть до сих пор:

Для ожидаемого входящего пакета запроса RADIUS у меня есть следующие строки кода в /etc/raddb/clients.conf:

клиент впнсервер {
IP-адрес = 10.10.10.200
секрет = RADIUS123!
}

В файле /etc/raddb/proxy.conf у меня есть следующие строки кода:

домашний_сервер mfaserver1 {
тип = авторизация
IP-адрес = 10.10.10.10
порт = 1812
секрет = RADIUS123!
}

home_server_pool mfaserver1_pool {
тип = отказоустойчивость
домашний_сервер = mfaserver1
}

домашний_сервер mfaserver2 {
тип = авторизация
IP-адрес = 10.10.10.20
порт = 1812
секрет = RADIUS123!
}

home_server_pool mfaserver2_pool {
тип = отказоустойчивость
домашний_сервер = mfaserver2
}

область mfa1 {
auth_pool = mfaserver1_pool
}

В файле /etc/raddb/sites-enabled/default у меня есть следующие строки кода в разделе «авторизовать {}» в разделе «предварительная обработка»:

разрешить {
предварительная обработка
если (&Packet-Src-IP-Address == 10.10.10.200) {
       управление обновлением {
       Пул домашних серверов: = "mfaserver2_pool"
           }
      }

Поэтому я использую имя пользователя «username@mfa1» и без строк кода в файле /etc/raddb/sites-enabled/default, условие области работает правильно и отправляет пакет запроса RADIUS на mfaserver1 без каких-либо проблем.

Со строками кода, добавленными в файл /etc/raddb/sites-enabled/default, я все еще хочу, чтобы имя пользователя было лишено области, но перезаписало условие прокси, чтобы сказать, что независимо от области в имени пользователя проксировать пакет запроса RADIUS на mfaserver2, потому что вы пришли с этого исходного IP-адреса. Хотя при выполнении многих тестов ничего не происходит, и запрос пакета RADIUS все равно пересылается на mfaserver1, несмотря ни на что.

Я пишу правильные строки кода для этого? Это в правильном файле? Нужно ли добавлять дополнительные строки кода в другой файл в /etc/raddb/?

184
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.