1.1、安装OpenLdap

# 在数据目录创建ldap文件存放ldap的配置文件

mkdir -p /data/ldap/{data,conf}

docker run -p 389:389 -p 636:636 \

--name ldap \

--env LDAP_TLS_VERIFY_CLIENT="never" \

--env LDAP_ORGANISATTON="xxxx" \

--env LDAP_DOMAIN="xxxx.com" \

--env LDAP_ADMIN_PASSWORD="xxxx" \

-v /data/ldap/data:/var/lib/ldap \

-v /data/ldap/conf:/etc/ldap/slapd.d \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap:v1.2.5

参数说明

  • LDAP_TLS_VERIFY_CLIENT:是否需要TLS认证
  • LDAP_ORGANISATTON:配置LDAP组织者
  • LDAP_DOMAIN:配置LDAP域
  • LDAP_ADMIN_PASSWORD:配置LDAP密码
  • 默认登录用户名:admin

1.2、安装可视化操作界面

docker run \

-d --privileged \

-p 18004:80 \

--name phpldapadmin \

--env PHPLDAPADMIN_HTTPS=false \

--env PHPLDAPADMIN_LDAP_HOSTS=10.30.1.4 \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap-web:v1.2.5

参数说明

  • PHPLDAPADMIN_HTTPS:是否使用https
  • PHPLDAPADMIN_LDAP_HOSTS:填写主机地址

2.1、安装radius

将下面yml保存至radius.yml文件

version: "3"

services:

  radius:

    image: freeradius/freeradius-server:3.2.0-alpine

    container_name: radius

    restart: always

    ports:

      - '1812:1812/udp'

      - '1813:1813/udp'

      - '1833:1833/udp'


docker-compose -f ./radius.yml up -d

2.2、配置ldap

# 将容器中的ldap配置文件复制出来

docker cp radius:/etc/raddb/mods-available/ldap ./

将配置修改为如下配置

ldap {

	server = 'ldap.e6gpshk.com'

	port = 389

	identity = 'cn=admin,dc=xxxx,dc=com'

	password = xxxx

	base_dn = 'ou=People,dc=xxxx,dc=com'

	sasl {

	}

	update {

		control:Password-With-Header	+= 'userPassword'

		control:			+= 'radiusControlAttribute'

		request:			+= 'radiusRequestAttribute'

		reply:				+= 'radiusReplyAttribute'

	}

	user_dn = "LDAP-UserDn"

	user {

		base_dn = "${..base_dn}"

		filter = "(&(objectClass=inetOrgPerson)(memberOf=cn=wifi,ou=Group,dc=e6yun,dc=com)(!(gidNumber=503))(cn=%{%{Stripped-User-Name}:-%{User-Name}}))"

		sasl {

		}

	}

	group {

		base_dn = "${..base_dn}"

		filter = '(objectClass=posixGroup)'

		membership_attribute = 'memberOf'

	}

	profile {

	}

	client {

		base_dn = "${..base_dn}"

		filter = '(objectClass=radiusClient)'

		template {

		}

		attribute {

			ipaddr				= 'radiusClientIdentifier'

			secret				= 'radiusClientSecret'

		}

	}

	accounting {

		reference = "%{tolower:type.%{Acct-Status-Type}}"

		type {

			start {

				update {

					description := "Online at %S"

				}

			}

			interim-update {

				update {

					description := "Last seen at %S"

				}

			}

			stop {

				update {

					description := "Offline at %S"

				}

			}

		}

	}

	post-auth {

		update {

			description := "Authenticated at %S"

		}

	}


# 将修改好的复制回容器

docker cp ./ldap  radius:/etc/raddb/mods-available/ldap


# 创建 site_ldap文件

vim site_ldap


server site_ldap {

    listen {

         ipaddr = 0.0.0.0

         port = 1833

         type = auth

    }

    authorize {

         update {

             control:Auth-Type := ldap

         }

    }

    authenticate {

        Auth-Type ldap {

            ldap

        }

    }

    post-auth {

        Post-Auth-Type Reject {

        }

    }

}


# 将文件复制到容器/etc/raddb/sites-available/ldap

docker cp ./site-ldap radius:/etc/raddb/sites-available/ldap


# 复制/etc/raddb/clients.conf 文件到本地进行修改

docker cp radius:/etc/raddb/clients.conf ./clients.conf


client localhost {

        ipaddr = 0.0.0.0/0  # 主要是修改这里

        proto = *

        secret = qqqqqqqq

        require_message_authenticator = no

        limit {

                max_connections = 16

                lifetime = 0

                idle_timeout = 30

        }

}

client localhost_ipv6 {

        ipv6addr        = ::1

        secret          = testing123

}


# 将修改好的文件复制回容器

docker cp ./clients.conf radius:/etc/raddb/clients.conf


# 创建软连接启用ldap插件

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/

ln -s /etc/raddb/sites-available/ldap /etc/raddb/sites-enabled/

# 重启容器

docker restart radius

# 到这里已经配置好了

接下来配置防火墙radius服务器,使用openldap导入用户

Radius+OpenLdap+USG防火墙认证的更多相关文章

  1. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

  2. [EAP]将hostapd作为radius服务器搭建EAP认证环境

    文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接 ...

  3. USG防火墙基础

    http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html 华为防火墙产品线 安全区域 1.     默认防火墙区域 T ...

  4. 华为USG防火墙nat环回配置

    网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.10 ...

  5. USG防火墙DHCP设置保留IP地址

    在使用disp cur查看当前配置 然后使用undo修改 这样10.0.1.1网段到10.0.1.100之间的IP地址不会分出去

  6. Freeradius+Cisco2500AC+OpenLdap认证

    为了将公司内部认证统一化,启用了802.1x认证,认证流程如下: UserClient->AC控制器->Freeradius->OpenLdap 其中: Freeradius做认证使 ...

  7. CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证

    CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证 来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osno ...

  8. LDAP落地实战(三):GitLab集成OpenLDAP认证

    上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...

  9. Openldap基于digest-md5方式的SASL认证配置

    1. openldap编译 如果需要openldap支持SASL认证,需要在编译时加上–enable-spasswd选项安装完cyrus-sasl,openssl(可选),BDB包后执行: 1 2 $ ...

  10. Radius 认证协议介绍-兼rfc导读

    老规矩, 先看维基: 远端用户拨入验证服务(RADIUS, Remote Authentication Dial In User Service)是一个AAA协议,意思就是同时兼顾验证(authent ...

随机推荐

  1. 2023-07-12:RocketMQ如何做到消息不丢失?

    2023-07-12:RocketMQ如何做到消息不丢失? 答案2023-07-12: RocketMQ通过刷盘机制.消息拉取机制和ACK机制等多种方式来确保消息投递的可靠性,防止消息丢失. 1.刷盘 ...

  2. Python 学习笔记:基础篇

    ! https://zhuanlan.zhihu.com/p/644232952 Python 学习笔记:基础篇 承接之前在<[[Python 学习路线图]]>一文中的规划,接下来,我将会 ...

  3. Swithch反汇编(四种)

    ------------恢复内容开始------------ Switch语法格式 Switch(表达式) { case 常量表达式1: 语句; break; case 常量表达式2: 语句; bre ...

  4. 【MAUI Blazor踩坑日记】4.只在特定平台上引用包

    其实这个并不是MAUI特有的问题,只是在MAUI中可能会遇到. 例如某个包只在Windows上有用,但打包的时候,安卓.ios也会把这个包计算在内 所以需要在不是特定平台时把它排除. 万幸从微软文档找 ...

  5. 为什么Python是数据科学家的首选语言

    这篇文章全面探讨了Python作为数据科学领域首选语言的原因.从Python的历史.特性,到在数据科学中的应用实例,再到与其他数据科学语言的比较,以及在实际企业中的应用,我们深入剖析了Python的优 ...

  6. C# 处理 csv 文件中的双引号

    C# CSV 双引号处理 直接上代码,自己写的,有问题可以随时联系 // 没有保证所有的都能对上,目前只处理了自己所遇见的格式 public static string[] SplitStr(stri ...

  7. 基于C#的窗体阴影效果方案 - 开源研究系列文章

    最近在研究C#的Winform窗体的效果,上次介绍了窗体动画效果的博文( 基于C#的无边框窗体动画效果的完美解决方案 - 开源研究系列文章 ),这次将窗体阴影效果的方案进行一个介绍. 找了一下度娘,具 ...

  8. Thinkphp 5.x 远程代码执行漏洞利用小记

    Thinkphp 5.x远程代码执行漏洞存在于Thinkphp 5.0版本及5.1版本,通过此漏洞,可以在远程执行任意代码,也可写入webshell 下面是对其进行的漏洞利用! 漏洞利用: 1,利用s ...

  9. Luckysheet:一个纯前端的excel在线表格

    最近因为项目要求,需要在页面上添加一个在线编辑excel的功能,因此只能在网上找有没有直接用的插件,最后很幸运的是幸好找到了一个 ----luckysheet. 这个是从luckysheet官网上找的 ...

  10. 使用Java来开发物联网应用

    这是Hello, Lithosphere Tutorials系列教程中的其中一篇. 感觉介绍用C/C++,用Python来开发物联网应用的文章比较多,用Java来做物联网的文章比较少. 这篇文章,介绍 ...