1.1、安装OpenLdap

# 在数据目录创建ldap文件存放ldap的配置文件

mkdir -p /data/ldap/{data,conf}

docker run -p 389:389 -p 636:636 \

--name ldap \

--env LDAP_TLS_VERIFY_CLIENT="never" \

--env LDAP_ORGANISATTON="xxxx" \

--env LDAP_DOMAIN="xxxx.com" \

--env LDAP_ADMIN_PASSWORD="xxxx" \

-v /data/ldap/data:/var/lib/ldap \

-v /data/ldap/conf:/etc/ldap/slapd.d \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap:v1.2.5

参数说明

  • LDAP_TLS_VERIFY_CLIENT:是否需要TLS认证
  • LDAP_ORGANISATTON:配置LDAP组织者
  • LDAP_DOMAIN:配置LDAP域
  • LDAP_ADMIN_PASSWORD:配置LDAP密码
  • 默认登录用户名:admin

1.2、安装可视化操作界面

docker run \

-d --privileged \

-p 18004:80 \

--name phpldapadmin \

--env PHPLDAPADMIN_HTTPS=false \

--env PHPLDAPADMIN_LDAP_HOSTS=10.30.1.4 \

--detach docker.e6gpshk.com:8443/yunwei/e6yun-openldap-web:v1.2.5

参数说明

  • PHPLDAPADMIN_HTTPS:是否使用https
  • PHPLDAPADMIN_LDAP_HOSTS:填写主机地址

2.1、安装radius

将下面yml保存至radius.yml文件

version: "3"

services:

  radius:

    image: freeradius/freeradius-server:3.2.0-alpine

    container_name: radius

    restart: always

    ports:

      - '1812:1812/udp'

      - '1813:1813/udp'

      - '1833:1833/udp'


docker-compose -f ./radius.yml up -d

2.2、配置ldap

# 将容器中的ldap配置文件复制出来

docker cp radius:/etc/raddb/mods-available/ldap ./

将配置修改为如下配置

ldap {

	server = 'ldap.e6gpshk.com'

	port = 389

	identity = 'cn=admin,dc=xxxx,dc=com'

	password = xxxx

	base_dn = 'ou=People,dc=xxxx,dc=com'

	sasl {

	}

	update {

		control:Password-With-Header	+= 'userPassword'

		control:			+= 'radiusControlAttribute'

		request:			+= 'radiusRequestAttribute'

		reply:				+= 'radiusReplyAttribute'

	}

	user_dn = "LDAP-UserDn"

	user {

		base_dn = "${..base_dn}"

		filter = "(&(objectClass=inetOrgPerson)(memberOf=cn=wifi,ou=Group,dc=e6yun,dc=com)(!(gidNumber=503))(cn=%{%{Stripped-User-Name}:-%{User-Name}}))"

		sasl {

		}

	}

	group {

		base_dn = "${..base_dn}"

		filter = '(objectClass=posixGroup)'

		membership_attribute = 'memberOf'

	}

	profile {

	}

	client {

		base_dn = "${..base_dn}"

		filter = '(objectClass=radiusClient)'

		template {

		}

		attribute {

			ipaddr				= 'radiusClientIdentifier'

			secret				= 'radiusClientSecret'

		}

	}

	accounting {

		reference = "%{tolower:type.%{Acct-Status-Type}}"

		type {

			start {

				update {

					description := "Online at %S"

				}

			}

			interim-update {

				update {

					description := "Last seen at %S"

				}

			}

			stop {

				update {

					description := "Offline at %S"

				}

			}

		}

	}

	post-auth {

		update {

			description := "Authenticated at %S"

		}

	}


# 将修改好的复制回容器

docker cp ./ldap  radius:/etc/raddb/mods-available/ldap


# 创建 site_ldap文件

vim site_ldap


server site_ldap {

    listen {

         ipaddr = 0.0.0.0

         port = 1833

         type = auth

    }

    authorize {

         update {

             control:Auth-Type := ldap

         }

    }

    authenticate {

        Auth-Type ldap {

            ldap

        }

    }

    post-auth {

        Post-Auth-Type Reject {

        }

    }

}


# 将文件复制到容器/etc/raddb/sites-available/ldap

docker cp ./site-ldap radius:/etc/raddb/sites-available/ldap


# 复制/etc/raddb/clients.conf 文件到本地进行修改

docker cp radius:/etc/raddb/clients.conf ./clients.conf


client localhost {

        ipaddr = 0.0.0.0/0  # 主要是修改这里

        proto = *

        secret = qqqqqqqq

        require_message_authenticator = no

        limit {

                max_connections = 16

                lifetime = 0

                idle_timeout = 30

        }

}

client localhost_ipv6 {

        ipv6addr        = ::1

        secret          = testing123

}


# 将修改好的文件复制回容器

docker cp ./clients.conf radius:/etc/raddb/clients.conf


# 创建软连接启用ldap插件

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/

ln -s /etc/raddb/sites-available/ldap /etc/raddb/sites-enabled/

# 重启容器

docker restart radius

# 到这里已经配置好了

接下来配置防火墙radius服务器,使用openldap导入用户

Radius+OpenLdap+USG防火墙认证的更多相关文章

  1. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

  2. [EAP]将hostapd作为radius服务器搭建EAP认证环境

    文章主要由以下几部分组成: 0.概念理解: WPA/WPA2,EAP,IEEE, 802.11i, WiFi联盟, 802.1x 1.编译hostapd 2.配置hostapd的conf文件 3.外接 ...

  3. USG防火墙基础

    http://support.huawei.com/huaweiconnect/enterprise/thread-331003.html 华为防火墙产品线 安全区域 1.     默认防火墙区域 T ...

  4. 华为USG防火墙nat环回配置

    网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.10 ...

  5. USG防火墙DHCP设置保留IP地址

    在使用disp cur查看当前配置 然后使用undo修改 这样10.0.1.1网段到10.0.1.100之间的IP地址不会分出去

  6. Freeradius+Cisco2500AC+OpenLdap认证

    为了将公司内部认证统一化,启用了802.1x认证,认证流程如下: UserClient->AC控制器->Freeradius->OpenLdap 其中: Freeradius做认证使 ...

  7. CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证

    CentOS7用hostapd做radius服务器为WiFi提供802.1X企业认证 来源: https://www.cnblogs.com/osnosn/p/10593297.html 来自osno ...

  8. LDAP落地实战(三):GitLab集成OpenLDAP认证

    上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...

  9. Openldap基于digest-md5方式的SASL认证配置

    1. openldap编译 如果需要openldap支持SASL认证,需要在编译时加上–enable-spasswd选项安装完cyrus-sasl,openssl(可选),BDB包后执行: 1 2 $ ...

  10. Radius 认证协议介绍-兼rfc导读

    老规矩, 先看维基: 远端用户拨入验证服务(RADIUS, Remote Authentication Dial In User Service)是一个AAA协议,意思就是同时兼顾验证(authent ...

随机推荐

  1. Typecho博客部署一言接口

    开始部署 下载代码上传至你的网站目录,把解压出来的文件夹改名为hitokoto 然后访问https://域名及文件路径/hitokoto查看效果 示例:https://sunpma.com/other ...

  2. zabbix 中 net.if.out 值来源及persecond的计算

    使用脚本记录每秒的net.if.out值,与zabbix中的lastdata值做对比,发现对不上. #!/bin/bash dev=eth0 get_dev_net_speed() { dev_inf ...

  3. 文心一言 VS 讯飞星火 VS chatgpt (69)-- 算法导论6.5 8题

    八.HEAP-DELETE(A,i)操作能够将结点 i 从堆 A 中删除.对于一个包含 n个元素的堆,请设计一个能够在 O(lgn)时间内完成的 HEAP-DELETE 操作. 文心一言: 要在 O( ...

  4. 零基础入门——从零开始学习PHP反序列化笔记(二)

    魔术方法 魔术方法介绍 __construct() 触发时机:实例化对象之前 构造函数,在实例化一个对象的时候,首先会去自动执行的一个方法; <?php class User { public ...

  5. 谈谈 Kafka 的幂等性 Producer

    使用消息队列,我们肯定希望不丢消息,也就是消息队列组件,需要保证消息的可靠交付.消息交付的可靠性保障,有以下三种承诺: 最多一次(at most once):消息可能会丢失,但绝不会被重复发送. 至少 ...

  6. debian11编译安装freeswitch

    前言 环境: 系统版本:debian 11 x86_64 FreeSWITCH版本:1.10.6 安装步骤 安装依赖(安装之前最好换apt软件源为国内的) apt install -y gnupg2 ...

  7. RR有幻读问题吗?MVCC能否解决幻读?

    幻读是 MySQL 中一个非常普遍,且面试中经常被问到的问题,如果你还搞不懂什么是幻读?什么是 MVCC?以及 MySQL 中的锁?那么请好好收藏和阅读本篇文章,因为它非常重要. RR 隔离级别 在 ...

  8. 关于package-lock.json

    前言 上篇文章我们了解了package.json,一般与它同时出现的还有一个package-lock.json,这两者又有什么关系呢?下面一起来了解吧. 介绍 package-lock.json 它会 ...

  9. quarkus数据库篇之四:本地缓存

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本文是<quarkus数据库篇> ...

  10. 三维模型OSGB格式轻量化重难点分析

    三维模型OSGB格式轻量化重难点分析 在三维模型应用中,为了适应移动设备的硬件和网络限制等问题,OSGB格式轻量化处理已经成为一个重要的技术手段.但是,在实际应用中,OSGB格式轻量化仍然存在着一些重 ...