FreeRADIUS更改用户域
问题描述:
我一直在努力使用Google Authenticator配置FreeRADIUS进行双因素身份验证。FreeRADIUS更改用户域
我用这个guide。
一切都很好,我甚至写了脚本来生成QR码并通过电子邮件发送给用户,但还有一个我想克服的障碍。
例如:
说我们的AD域是my.domain.com我对FreeRADIUS的身份验证的用户名[email protected]一切工作正常。问题是我们的RAS解决方案有时并不总是将完整的域发送给FreeRADIUS。在日志中,我会看到用户名为user @ my(2000之前的域名)。自然这失败了。
我想要实现的是让FreeRADIUS抓住这个并用@ my.domain.com取代@my。
另一个选择是重新配置所有的RAS客户端,并且由于这些几乎都是远程使用,这将是不切实际的。
我确定FreeRADIUS可以做到,有人可以帮助我吗?
答
好吧,明白了。
以防万一其他人需要知道我在做什么。
添加以下到/ etc/raddb /提示(可能由发行变化,但我在CentOS 7)
DEFAULT Suffix == "@my", Strip-User-Name = No
User-Name := "%{User-Name}.domain.com"
DEFAULT User-Name !~ ".*@"
User-Name := "%{User-Name}@my.domain.com"
第一项查看是否后缀是JUST @my,并增加了.domain.com如果是用户名。
第二项检查@是否存在,如果没有,则将@ my.domain.com添加到用户名。这原来是上面没有提到的额外要求。
希望对某人有用。现在就像魅力一样。