Freeradius和Google LDAP

Question

我已经根据https://support.google.com/a/answer/9048434?hl=en&ref_topic=9173976中提供的说明在Ubuntu服务器上配置了Freeradius。

从Ubuntu服务器本身，我已经能够使用'radtest‘验证我的Google帐户。但是，当我尝试从我注册为Freeradius服务器(在clients.conf中)的客户端的AP进行身份验证时，我无法获得身份验证。这与CA证书有关吗？

是否有任何手册或指南，我可以使用谷歌LDAP配置Freeradius？谢谢。

Answer 1

您收到任何错误消息了吗？这将给出问题所在的一些迹象。错误的ID或密码，或与搜索或ACL访问有关的内容。

Answer 2

radtest之所以有效，是因为它向RADIUS服务器发送明文密码，然后RADIUS服务器可以将密码提供给Google LDAP进行尝试和绑定。Google LDAP不会让您获得密码的副本，因此您可以使用的身份验证方法非常有限。

对于无线，您需要使用EAP方法，该方法以明文形式将密码提供给RADIUS服务器，最有可能是EAP-TTLS/PAP。常见的EAP方法(如PEAP/EAP-MSCHAPv2或EAP-TTLS/MSCHAPv2 )将不起作用，因为RADIUS服务器没有密码副本可供尝试和绑定。

您还需要确保在inner-tunnel虚拟服务器中执行LDAP身份验证阶段，而不是在外部(来自EAP-TTLS/PAP的密码只有在从TLS隧道解密后才能在内部虚拟服务器中使用)。从问题中还不清楚你是在哪里做的。如果您在EAP虚拟服务器中配置了LDAP，那么普通的radtest就可以工作，但是没有任何default方法可以工作。

Answer 3

与@matthew-newton在这里所说的相反，让EAP方法工作是可能的。

一旦有了针对谷歌服务的有效radtest，就可以通过读取实际连接请求的调试输出( #freeradius -X )来仔细检查请求方发送的方法。您将看到，在来自Google的初始响应之后，没有配置eap_peap/MSCHAPv2密码。

如果您做到了这一点，请将this pre-packaged dockerized solution中演示的内容付诸实践。如果查看/configs，您会发现站点和mod文件(default、ldap、eap和inner-tunnel)已经配置为与Google LDAP一起使用。我不建议把它们放进去。您应该边读边读，并仅在必要时对您自己的配置进行更改。