1.1、安装OpenLdap

# 在数据目录创建ldap文件存放ldap的配置文件

mkdir -p /data/ldap/{data,conf}

docker run -p 389:389 -p 636:636 \

--name ldap \

--env LDAP_TLS_VERIFY_CLIENT="never" \

--env LDAP_ORGANISATTON="xxxx" \

--env LDAP_DOMAIN="xxxx.com" \

--env LDAP_ADMIN_PASSWORD="xxxx" \

-v /data/ldap/data:/var/lib/ldap \

-v /data/ldap/conf:/etc/ldap/slapd.d \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap:v1.2.5

参数说明

  • LDAP_TLS_VERIFY_CLIENT:是否需要TLS认证
  • LDAP_ORGANISATTON:配置LDAP组织者
  • LDAP_DOMAIN:配置LDAP域
  • LDAP_ADMIN_PASSWORD:配置LDAP密码
  • 默认登录用户名:admin

1.2、安装可视化操作界面

docker run \

-d --privileged \

-p 18004:80 \

--name phpldapadmin \

--env PHPLDAPADMIN_HTTPS=false \

--env PHPLDAPADMIN_LDAP_HOSTS=10.30.1.4 \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap-web:v1.2.5

参数说明

  • PHPLDAPADMIN_HTTPS:是否使用https
  • PHPLDAPADMIN_LDAP_HOSTS:填写主机地址

2.1、安装radius

将下面yml保存至radius.yml文件

version: "3"

services:

  radius:

    image: freeradius/freeradius-server:3.2.0-alpine

    container_name: radius

    restart: always

    ports:

      - '1812:1812/udp'

      - '1813:1813/udp'

      - '1833:1833/udp'


docker-compose -f ./radius.yml up -d

2.2、配置ldap

# 将容器中的ldap配置文件复制出来

docker cp radius:/etc/raddb/mods-available/ldap ./

将配置修改为如下配置

ldap {

	server = 'ldap.e6gpshk.com'

	port = 389

	identity = 'cn=admin,dc=xxxx,dc=com'

	password = xxxx

	base_dn = 'ou=People,dc=xxxx,dc=com'

	sasl {

	}

	update {

		control:Password-With-Header	+= 'userPassword'

		control:			+= 'radiusControlAttribute'

		request:			+= 'radiusRequestAttribute'

		reply:				+= 'radiusReplyAttribute'

	}

	user_dn = "LDAP-UserDn"

	user {

		base_dn = "${..base_dn}"

		filter = "(&(objectClass=inetOrgPerson)(memberOf=cn=wifi,ou=Group,dc=e6yun,dc=com)(!(gidNumber=503))(cn=%{%{Stripped-User-Name}:-%{User-Name}}))"

		sasl {

		}

	}

	group {

		base_dn = "${..base_dn}"

		filter = '(objectClass=posixGroup)'

		membership_attribute = 'memberOf'

	}

	profile {

	}

	client {

		base_dn = "${..base_dn}"

		filter = '(objectClass=radiusClient)'

		template {

		}

		attribute {

			ipaddr				= 'radiusClientIdentifier'

			secret				= 'radiusClientSecret'

		}

	}

	accounting {

		reference = "%{tolower:type.%{Acct-Status-Type}}"

		type {

			start {

				update {

					description := "Online at %S"

				}

			}

			interim-update {

				update {

					description := "Last seen at %S"

				}

			}

			stop {

				update {

					description := "Offline at %S"

				}

			}

		}

	}

	post-auth {

		update {

			description := "Authenticated at %S"

		}

	}


# 将修改好的复制回容器

docker cp ./ldap  radius:/etc/raddb/mods-available/ldap


# 创建 site_ldap文件

vim site_ldap


server site_ldap {

    listen {

         ipaddr = 0.0.0.0

         port = 1833

         type = auth

    }

    authorize {

         update {

             control:Auth-Type := ldap

         }

    }

    authenticate {

        Auth-Type ldap {

            ldap

        }

    }

    post-auth {

        Post-Auth-Type Reject {

        }

    }

}


# 将文件复制到容器/etc/raddb/sites-available/ldap

docker cp ./site-ldap radius:/etc/raddb/sites-available/ldap


# 复制/etc/raddb/clients.conf 文件到本地进行修改

docker cp radius:/etc/raddb/clients.conf ./clients.conf


client localhost {

        ipaddr = 0.0.0.0/0  # 主要是修改这里

        proto = *

        secret = qqqqqqqq

        require_message_authenticator = no

        limit {

                max_connections = 16

                lifetime = 0

                idle_timeout = 30

        }

}

client localhost_ipv6 {

        ipv6addr        = ::1

        secret          = testing123

}


# 将修改好的文件复制回容器

docker cp ./clients.conf radius:/etc/raddb/clients.conf


# 创建软连接启用ldap插件

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/

ln -s /etc/raddb/sites-available/ldap /etc/raddb/sites-enabled/

# 重启容器

docker restart radius

# 到这里已经配置好了

接下来配置防火墙radius服务器,使用openldap导入用户

Radius+OpenLdap+USG防火墙认证的更多相关文章

  1. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

  2. [EAP]将hostapd作为radius服务器搭建EAP认证环境

    文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接 ...

  3. USG防火墙基础

    http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html 华为防火墙产品线 安全区域 1.     默认防火墙区域 T ...

  4. 华为USG防火墙nat环回配置

    网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.10 ...

  5. USG防火墙DHCP设置保留IP地址

    在使用disp cur查看当前配置 然后使用undo修改 这样10.0.1.1网段到10.0.1.100之间的IP地址不会分出去

  6. Freeradius+Cisco2500AC+OpenLdap认证

    为了将公司内部认证统一化,启用了802.1x认证,认证流程如下: UserClient->AC控制器->Freeradius->OpenLdap 其中: Freeradius做认证使 ...

  7. CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证

    CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证 来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osno ...

  8. LDAP落地实战(三):GitLab集成OpenLDAP认证

    上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...

  9. Openldap基于digest-md5方式的SASL认证配置

    1. openldap编译 如果需要openldap支持SASL认证,需要在编译时加上–enable-spasswd选项安装完cyrus-sasl,openssl(可选),BDB包后执行: 1 2 $ ...

  10. Radius 认证协议介绍-兼rfc导读

    老规矩, 先看维基: 远端用户拨入验证服务(RADIUS, Remote Authentication Dial In User Service)是一个AAA协议,意思就是同时兼顾验证(authent ...

随机推荐

  1. Day05_Java_作业

    A:看程序写结果(写出自己的分析理由),程序填空,改错,看程序写结果. 1.看程序写结果 class Demo { public static void main(String[] args) { i ...

  2. CMU15-445 Project3 Query Execution心得

    Project3 Query Execution 心得 一.概述 首先要说:这个 project很有趣很硬核!从这个 project 开始才感觉自己在数据库方面真正成长了! 第一个 project : ...

  3. C语言基础--数组详细说明

    目录 一.什么是数组 二.一维数组 1.一维数组创建 2.一维数组的使用 2.1 索引值 2.2 遍历数组 2.3 如何使用sizeof()计算出数组的长度 三.二维数组 1.二维数组的创建 2.二维 ...

  4. C语言指针--二级指针

    文章目录 前言 一.什么是二级指针 二.二级指针的使用 1.二级指针的定义 2.二级指针的赋值 3.二级指针的使用 3.1 用二级指针输出一级指针的地址 3.2 用二级指针输出一级指针中的内容 3.3 ...

  5. Bash 内建命令

    官方文档 Bash内建命令 查看命令是否为Bash内建命令

  6. nacos系列:简介和安装

    目录 版本选择 安装 windows安装 centos安装 mysql方式存储 官网:https://nacos.io github:https://github.com/alibaba/nacos ...

  7. 一种基于ChatGPT的高效吃瓜方式的探索和研究。

    你好呀,我是歪歪. 最近掌握了一个新的吃瓜方式,我觉得还行,给大家简单分享一下. 事情说来就话长了,还得从最近的一次"工业革命"开始,也就是从超导材料说起. 8 月 1 日的时候 ...

  8. 聊聊JDK1.0到JDK20的那些事儿

    1.前言 最近小组在开展读书角活动,我们小组选的是<深入理解JVM虚拟机>,相信这本书对于各位程序猿们都不陌生,我也是之前在学校准备面试期间大致读过一遍,emm时隔多日,对里面的知识也就模 ...

  9. [ABC305D] Sleep Log题解

    题目大意 给 \(N\) 个时刻: 当 \(i\) 为奇数时,\(A_i\) 表示刚刚起床的时刻. 当 \(i\) 为偶数时,\(A_i\) 表示开始睡觉的时刻. 有 \(Q\) 次询问,每次求在 \ ...

  10. Ceph-部署

    Ceph规划 主机名 IP地址 角色 配置 ceph_controler 192.168.87.202 控制节点.MGR Centos7系统500G硬盘 ceph_node1 192.168.87.2 ...