1.1、安装OpenLdap

# 在数据目录创建ldap文件存放ldap的配置文件

mkdir -p /data/ldap/{data,conf}

docker run -p 389:389 -p 636:636 \

--name ldap \

--env LDAP_TLS_VERIFY_CLIENT="never" \

--env LDAP_ORGANISATTON="xxxx" \

--env LDAP_DOMAIN="xxxx.com" \

--env LDAP_ADMIN_PASSWORD="xxxx" \

-v /data/ldap/data:/var/lib/ldap \

-v /data/ldap/conf:/etc/ldap/slapd.d \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap:v1.2.5

参数说明

  • LDAP_TLS_VERIFY_CLIENT:是否需要TLS认证
  • LDAP_ORGANISATTON:配置LDAP组织者
  • LDAP_DOMAIN:配置LDAP域
  • LDAP_ADMIN_PASSWORD:配置LDAP密码
  • 默认登录用户名:admin

1.2、安装可视化操作界面

docker run \

-d --privileged \

-p 18004:80 \

--name phpldapadmin \

--env PHPLDAPADMIN_HTTPS=false \

--env PHPLDAPADMIN_LDAP_HOSTS=10.30.1.4 \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap-web:v1.2.5

参数说明

  • PHPLDAPADMIN_HTTPS:是否使用https
  • PHPLDAPADMIN_LDAP_HOSTS:填写主机地址

2.1、安装radius

将下面yml保存至radius.yml文件

version: "3"

services:

  radius:

    image: freeradius/freeradius-server:3.2.0-alpine

    container_name: radius

    restart: always

    ports:

      - '1812:1812/udp'

      - '1813:1813/udp'

      - '1833:1833/udp'


docker-compose -f ./radius.yml up -d

2.2、配置ldap

# 将容器中的ldap配置文件复制出来

docker cp radius:/etc/raddb/mods-available/ldap ./

将配置修改为如下配置

ldap {

	server = 'ldap.e6gpshk.com'

	port = 389

	identity = 'cn=admin,dc=xxxx,dc=com'

	password = xxxx

	base_dn = 'ou=People,dc=xxxx,dc=com'

	sasl {

	}

	update {

		control:Password-With-Header	+= 'userPassword'

		control:			+= 'radiusControlAttribute'

		request:			+= 'radiusRequestAttribute'

		reply:				+= 'radiusReplyAttribute'

	}

	user_dn = "LDAP-UserDn"

	user {

		base_dn = "${..base_dn}"

		filter = "(&(objectClass=inetOrgPerson)(memberOf=cn=wifi,ou=Group,dc=e6yun,dc=com)(!(gidNumber=503))(cn=%{%{Stripped-User-Name}:-%{User-Name}}))"

		sasl {

		}

	}

	group {

		base_dn = "${..base_dn}"

		filter = '(objectClass=posixGroup)'

		membership_attribute = 'memberOf'

	}

	profile {

	}

	client {

		base_dn = "${..base_dn}"

		filter = '(objectClass=radiusClient)'

		template {

		}

		attribute {

			ipaddr				= 'radiusClientIdentifier'

			secret				= 'radiusClientSecret'

		}

	}

	accounting {

		reference = "%{tolower:type.%{Acct-Status-Type}}"

		type {

			start {

				update {

					description := "Online at %S"

				}

			}

			interim-update {

				update {

					description := "Last seen at %S"

				}

			}

			stop {

				update {

					description := "Offline at %S"

				}

			}

		}

	}

	post-auth {

		update {

			description := "Authenticated at %S"

		}

	}


# 将修改好的复制回容器

docker cp ./ldap  radius:/etc/raddb/mods-available/ldap


# 创建 site_ldap文件

vim site_ldap


server site_ldap {

    listen {

         ipaddr = 0.0.0.0

         port = 1833

         type = auth

    }

    authorize {

         update {

             control:Auth-Type := ldap

         }

    }

    authenticate {

        Auth-Type ldap {

            ldap

        }

    }

    post-auth {

        Post-Auth-Type Reject {

        }

    }

}


# 将文件复制到容器/etc/raddb/sites-available/ldap

docker cp ./site-ldap radius:/etc/raddb/sites-available/ldap


# 复制/etc/raddb/clients.conf 文件到本地进行修改

docker cp radius:/etc/raddb/clients.conf ./clients.conf


client localhost {

        ipaddr = 0.0.0.0/0  # 主要是修改这里

        proto = *

        secret = qqqqqqqq

        require_message_authenticator = no

        limit {

                max_connections = 16

                lifetime = 0

                idle_timeout = 30

        }

}

client localhost_ipv6 {

        ipv6addr        = ::1

        secret          = testing123

}


# 将修改好的文件复制回容器

docker cp ./clients.conf radius:/etc/raddb/clients.conf


# 创建软连接启用ldap插件

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/

ln -s /etc/raddb/sites-available/ldap /etc/raddb/sites-enabled/

# 重启容器

docker restart radius

# 到这里已经配置好了

接下来配置防火墙radius服务器,使用openldap导入用户

Radius+OpenLdap+USG防火墙认证的更多相关文章

  1. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

  2. [EAP]将hostapd作为radius服务器搭建EAP认证环境

    文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接 ...

  3. USG防火墙基础

    http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html 华为防火墙产品线 安全区域 1.     默认防火墙区域 T ...

  4. 华为USG防火墙nat环回配置

    网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.10 ...

  5. USG防火墙DHCP设置保留IP地址

    在使用disp cur查看当前配置 然后使用undo修改 这样10.0.1.1网段到10.0.1.100之间的IP地址不会分出去

  6. Freeradius+Cisco2500AC+OpenLdap认证

    为了将公司内部认证统一化,启用了802.1x认证,认证流程如下: UserClient->AC控制器->Freeradius->OpenLdap 其中: Freeradius做认证使 ...

  7. CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证

    CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证 来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osno ...

  8. LDAP落地实战(三):GitLab集成OpenLDAP认证

    上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...

  9. Openldap基于digest-md5方式的SASL认证配置

    1. openldap编译 如果需要openldap支持SASL认证,需要在编译时加上–enable-spasswd选项安装完cyrus-sasl,openssl(可选),BDB包后执行: 1 2 $ ...

  10. Radius 认证协议介绍-兼rfc导读

    老规矩, 先看维基: 远端用户拨入验证服务(RADIUS, Remote Authentication Dial In User Service)是一个AAA协议,意思就是同时兼顾验证(authent ...

随机推荐

  1. CF1794B Not Dividing题解

    如果 \(a_i\) 可以整除 \(a_{i - 1}\),只要在 \(a_i\) 上 \(+1\) 即可,这样 \(a_i \bmod a_{i - 1} = 1\) 就满足题目要求了,如果这样算来 ...

  2. 【转载】Linux虚拟化KVM-Qemu分析(二)之ARMv8虚拟化

    原文链接: 作者:LoyenWang 出处:https://www.cnblogs.com/LoyenWang/ 公众号:LoyenWang 版权:本文版权归作者和博客园共有 转载:欢迎转载,但未经作 ...

  3. TrustZone——(一)

    本文内容主要来源于网络,综合了网上的多篇文章,也加入了一些自己的理解,重新组织了文章结构使其便于理解. 主要参考的文章包括: 一篇了解TrustZone TrustZone领域先行者 TrustZon ...

  4. 编码技巧 --- 使用dynamic简化反射

    引言 dynamic 是 Framework 4.0 就出现特性,它的出现让 C# 具有了弱语言类型的特性.编译器在编译的时候不再对类型进行检查,默认 dynamic 对象支持开发者想要的任何特性. ...

  5. nf_conntrack: table full, dropping packet

    参考:linux 路由跟踪表满错误 nf_conntrack: table full, dropping packet 原理解决方法 说明 ping,dmesg 或者 /var/log/message ...

  6. Linux中对管道命令中的任意子命令进行返回码校验

    ~~ linux return code with pipeline~~ ~~ linux 管道命令中的返回码~~ BASH SHELL中,通常使用 $? 来获取上一条命令的返回码. Shell Sc ...

  7. chrome浏览器插件react devtools、redux devtools,无需安装、解压即可用

    react devtools用于调试react代码,可以查看到props.state的值,以及定义的hooks,而redux devtools可以追踪到action的派发.store的变化,两个都是r ...

  8. iptables基础

    简介 Linux防火墙主要工作在网络层,针对TCP/IP数据包实施过滤和限制.iptables是linux防火墙的管理程序,为包过滤机制的实现制定规则,并告诉内核空间的netfilter如何处理这些网 ...

  9. nlp入门(三)基于贝叶斯算法的拼写错误检测器

    源码请到:自然语言处理练习: 学习自然语言处理时候写的一些代码 (gitee.com) 数据来源:norvig.com/big.txt 贝叶斯原理可看这里:机器学习算法学习笔记 - 过客匆匆,沉沉浮浮 ...

  10. 从浅入深了解.NET Core MVC 2.x全面教程【第二章】

    二.Logging 1.诊断中间件 命名空间:Microsoft.AspNetCore.Diagnostics 报告信息并处理异常 2.诊断中间件 UseDeveloperExceptionPage: ...