
Have a read through these posts.<br><br><a href="http://lists.freeradius.org/pipermail/freeradius-users/2010-October/msg00058.html">http://lists.freeradius.org/pipermail/freeradius-users/2010-October/msg00058.html</a><br><br>

<div class="gmail_quote">On Tue, Nov 2, 2010 at 2:10 PM, Hugh Blandford <span dir="ltr"><<a href="mailto:hugh@island.net.au">hugh@island.net.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Dear All,<br>

<br>

I have been experimenting with using FreeRADIUS and LDAP, trying to get some understanding of how groups are handled.<br>

<br>

I have left things in the configuration files mostly as standard, except uncommenting the LDAP sections but am obviously not understanding how things are supposed to work.<br>

<br>

I can place an LDAP group name in the users file and then have my LDAP user checked against it and return the relevant attributes.<br>

<br>

eg   (following someone's helpful example)<br>

<br>

DEFAULT        Ldap-Group == flat10000, User-Profile := "uid=flat10000,ou=profiles,ou=radius,ou=wl,dc=example,dc=org"<br>

                       Fall-Through = yes<br>

<br>

DEFAULT        Ldap-Group == disabled, Auth-Type := Reject<br>

                      Reply-Message = "Account disabled.  Please call the helpdesk.",<br>

                      Fall-Through = no<br>

<br>

However, I was hoping to not use the users file.  I was hoping that:<br>

<br>

groupname_attribute = cn<br>

groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn})))"<br>

groupmembership_attribute = radiusGroupName<br>

<br>

would mean you could add the attribute radiusGroupName to a user's entry and it would then look up the relevant GroupofNames and add those attributes to the return items.  However, when I add radiusGroupName to a user's entry I don't see any groupname lookups in the debug at all.<br>


<br>

Sorry if I have failed to understand something basic.<br>

<br>

What I actually want to do is might not be solved best by LDAP groups.  Most of our customers are in different VRFs and this, the loopback address and DNS servers etc are returned.  Rather than store this information under each user I would like to have template that I refer to.  However, at the same time, having 50+ default entries didn't seem the right way to do it either.<br>


<br>

Thanks for your patience.<br>

<br>

Hugh Blandford<br><font color="#888888">

<br>

-- <br>

Hugh Blandford<br>

Island Internet<br>

ph 1300 130 428<br>

mb 0412 016 875<br>

<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</font></blockquote></div><br>