安裝FreeRadius + ldap +單點登錄

Question

我正在嘗試使用FreeRadius配置單點登錄。

場景： 我有一個完全配置的LDAP（389 DS）版本2.1，用戶和組很少（在CentOS6中）。 我已經安裝了FreeRadius（最新的穩定版本）（在CentOS 6中）。 配置FreeRadius以偵聽上述LDAP服務器。

我使用pam_radius模塊將客戶端系統（CentOS6）作爲radius客戶端。現在，我們可以使用LDAP憑證登錄到NAS並在FreeRadius中正確獲取日誌。

現在，我想在此設置中實施單點登錄，因爲我想添加一些其他設備，如防火牆（Sonicwall）進行身份驗證。

我找不到任何好的文檔來配置它。

有人可以請我建議我如何在上面的設置配置單點登錄？

Answer 1

對於防火牆，大多數人只是使用會計數據來適當地啓動和停止會話。這通常會在freeradius服務器的accounting {}部分觸發一個腳本，在Acct-Status-Type == Start上創建會話並在Acct-Status-Type == Stop上銷燬該會話。

如果PAM模塊發送臨時更新，則可以將它們記錄在數據庫中，並設置'lastupdated'時間戳。然後你有一個cronjob來檢查哪些行是NOW() - lastupdated > (interim-interval * 2)，對於那些行，刪除防火牆上的會話並關閉數據庫中的會話。

我不知道哪個SSO機制可以純粹通過RADIUS運行，項目Moonshot人員正在嘗試使用SAML和一種特殊的EAP方法，但這可能對於您在此處所需的內容太複雜，而不是無論如何PAM支持。