I have configured FR 2.1.7 successfully and just wanted to confirm this is the best way to achieve what I am wanting to do.<br><br>I have large number nas elements scattered throughout the network that we are trying to centralise on a pair of redundant FR servers.  The authentication will be based on users out of LDAP, and I would also like to have the authorzation based on LDAP groups, so I can add a user into a group in LDAP and they will then have access to login to the NAS device.<br>
<br>As part of this we need to restrict certain nas types to a certain group of people, and return additional items as part of the Access-Accept such as "Service-Type = "Login-User" or Cisco-avpair = "shell:priv-lvl=15" and such like.<br>
<br>In LDAP I have the following group and OU structure for NAS systems, and potentially there are any number of different responses depending on
their access level per system, and thus I plan to add different users
into the relevant group.<br>
<br>cn=ResponseValue,ou=NAS,ou=Radius,o=Org  ie: <br><br>cn=Login-User,ou=SystemA,ou=Radius,o=Org<br>cn=Login-Admin,ou=SystemA,ou=Radius,o=Org<br>cn=Level1,ou=SystemB,ou=Radius,o=Org<br>cn=Level7,ou=SystemB,ou=Radius,o=Org<br>

cn=Level15,ou=SystemB,ou=Radius,o=Org<br>
<br>The only way I have got this to effectivly work is as follows:<br><br>in the sites-enabled/default I have:<br><br>authorize {<br>        ldap<br>}<br>authenticate {<br>        Auth-Type LDAP {<br>                ldap<br>
        }<br>post-auth {<br>        files<br>}<br><br>Then after I have modified the modules/files and added "postauth_usersfile = ${confdir}/postauth_users"<br><br>I also add in all the same devices in the same nas group into the huntgroups file such as:<br>
<br>SystemA         NAS-IP-Address == 192.168.1.1<br><br>In the postauth_users file I need to put the logic to say if you are a member of this LDAP Group, and coming from this Hostgroup NAS server, then Access-Accept & include the correct reply.<br>
<br>DEFAULT Huntgroup-Name == SystemA, Ldap-Group == "cn=Login-User,ou=SystemA,ou=Radius,o=Org", Auth-Type := Accept<br>        Service-Type = "Login-User"<br>DEFAULT Huntgroup-Name == SystemA, Ldap-Group == "cn=Login-Admin,ou=SystemA,ou=Radius,o=Org", Auth-Type := Accept<br>

        Service-Type = "Login-Admin"<br>
DEFAULT Huntgroup-Name == SystemB, Ldap-Group == "cn=Level1,ou=SystemB,ou=Radius,o=Org", Auth-Type := Accept<br>
        Cisco-avpair = "shell:priv-lvl=1"<br>
and so on.<br><br>Is there an easier way to have grainular system access controls based on group memberships out of ldap?  As it's a pain to have one to one matchup from ldap groups, to the postauth_users.<br><br>Thanks<br>
<br>Peter<br>