[EXT] Anonymous outer identity
Jaume Obrador Vaquer
jobrador at lledoner.com
Wed Jun 1 11:32:50 UTC 2022
Thanks a lot Brian, it worked perfect!
For the record: I just moved the VLAN assigning code:
if (LDAP-Group == 10000 ) {
update reply {
Service-Type = Framed-User
Tunnel-Type = 13
Tunnel-Medium-Type = 6
Tunnel-Private-Group-ID = 20
}
}
if (LDAP-Group == 10001 ) {
update reply {
Service-Type = Framed-User
Tunnel-Type = 13
Tunnel-Medium-Type = 6
Tunnel-Private-Group-ID = 40
}
}
>From the post-auth section at default site to post-auth section of
inner-tunnel site. And changed the if (0) block code to if (1) in the
inner-tunnel, after those 2 simple changes it worked as expected.
Thanks a lot again.
Jaume.
Missatge de Brian Julin <BJulin at clarku.edu> del dia dt., 31 de maig 2022 a
les 20:02:
>
> Jaume Obrador Vaquer <jobrador at lledoner.com> wrote:
>
> > Hi, we’ve set up freeradius 3.0 in order to authenticate users through an
> > LDAP server, also users are assigned different VLAN depending on
> gidNumber
> > ldap attribute. We have 2 enabled sites ‘default’ and ‘inner-tunnel’
>
> You should be performing LDAP in the inner-tunnel server, not the default
> server,
> and use the EAP-PEAP copy_request_to_tunnel option to get stuff from
> the outer layer into the inner server, if you need it. Then use an
> update outer.session-state {} clause to get stuff back out to the outer
> (default)
> server as needed.
>
> Alternatively you can do some LDAP post-auth lookup stuff after leaking the
> inner-tunnel username back into the outer session, but you definitely want
> to do the actual "authenticate" step in the inner tunnel, whether that be
> by AD or LDAP.
>
> There should be a few examples of these configurations around by now.
>
> Also, FWIW, windows clients will postpend your domain name on the value
> in the "identity privacy" field. So if the username is foo at test.com and
> they put "anon" in this feild, the outer identity will be "anon at test.com".
> JFYI. Most other clients let you set a different domain if you want,
> Windows won't.
> -
> List info/subscribe/unsubscribe? See
> http://www.freeradius.org/list/users.html
>
--
*Informació sobre protecció de dades: El responsable del tractament de les
dades personals del destinatari és el remitent de la present comunicació.
Aquestes dades són tractades per a la satisfacció del nostre interès
legítim per a la gestió de contactes i el manteniment de comunicacions
recíproques per qüestions derivades de la nostra activitat. Aquestes dades
seran conservades mentre siguin útils per a la finalitat indicada, i, en
tot cas, durant els terminis legals i per al temps necessari per atendre a
possibles responsabilitats nascudes del tractament. Els interessats tenen
dret a sol·licitar l'accés a les seves dades personals, la seva
rectificació, supressió o portabilitat, la limitació del seu tractament, a
oposar-se al tractament, així com a presentar una reclamació davant una
autoritat de control.*
_Aquest missatge i els seus documents adjunts són
confidencials. Si vostè no és el destinatari, per favor posi-ho en
coneixement del remitent i elimini aquesta comunicació i els documents
adjunts del seu sistema, sense reproduir ni comunicar els seus continguts.
La transmissió de correu electrònic no garanteix que sigui segur o lliure
d'error, per la qual cosa, declinem qualsevol responsabilitat sobre aquest
tema._
More information about the Freeradius-Users
mailing list