Projet

Général

Profil

Tâche #35685

Scénario #31641: Gérer l'authentification AD en plus de LDAP dans eole-radius (étude pour EOLE 2.10)

Étude complémentaire à l’étude complémentaire

Ajouté par Benjamin Bohard il y a 5 mois. Mis à jour il y a environ 2 mois.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Benjamin Bohard
Version cible:
Distribution EOLE - Livraison Cadoles 31/12/2023 (20)
Début:
01/10/2022
Echéance:
% réalisé:

0%

Restant à faire (heures):
0.0

Demandes liées

Lié à eole-radius - Scénario #35809: EOLE 2.10 : refonte de eole-freeradius Nouveau
Lié à Distribution EOLE - Scénario #35824: EOLE 2.10 : Création d'un projet eole-winbind Nouveau

Historique

#1 Mis à jour par Benjamin Bohard il y a 5 mois

  • Statut changé de Nouveau à En cours

#2 Mis à jour par Benjamin Bohard il y a 5 mois

Pour authentifier des utilisateurs avec les données de l’annuaire type AD, plusieurs stratégies sont décrites dans les divers documents de freeradius :
- l’utilisation du module LDAP
- l’utilisation du module exec (pour utiliser ntlm_auth ou winbind)

https://freeradius.org/documentation/freeradius-server/3.2.4/concepts/modules/ldap/authentication.html

Le problème est que l’annuaire type AD ne renvoie pas les informations d’authentification durant la phase d’autorisation. De ce fait, l’authentification se fait directement auprès de l’annuaire.

Le blog deployingradius.com (du développeur principal) décrit l’utilisation du module exec (http://deployingradius.com/documents/configuration/active_directory.html).

Le wiki décrit également le fonctionnement avec winbind (https://wiki.freeradius.org/guide/Active-Directory-direct-via-winbind).

#3 Mis à jour par Benjamin Bohard il y a 3 mois

Dans les cas ntml_auth et winbind, ce dernier composant doit être configuré. Dans le cas d’une installation sur Amon, winbind est déjà configuré pour utilisation par le proxy. Il y a une concurrence d’usage de winbind par freeradius et squid.

Il se pose donc la question de l’intégration de winbind selon plusieurs cas de figure :
- freeradius seul => il faut installer et configurer winbind
- freeradius + squid => winbind est installé en dépendance de squid mais doit être mutualisé avec freeradius ?
- squid seul => le cas actuel : winbind est en dépendance et eole-proxy apporte les templates et les variables de configuration de winbind.

Pour avancer, il faudrait savoir comment partager winbind entre les deux programmes freeradius et squid (en gardant en tête le cas du mode conteneur).

Techniquement, squid et freeradius accèderaient à winbind via la socket (acl à mettre dessus pour les deux utilisateurs).

Sans modification de l’intégration actuelle de winbind, il y a une dépendance entre freeradius et squid pour les variables de configuration (gérées avec des redefine ?) et les templates. Freeradius ne pourra être fonctionnel que dans le cas très précis de l’Amon avec squid activé.

Une modification de l’intégration de winbind semble souhaitable selon les pistes suivantes :
- un paquet à part pour winbind avec configuration et template
- winbind partagé entre les différents programmes clients => une configuration unique limitant la configuration de squid et freeradius mais également une seule connexion au domaine

#4 Mis à jour par Joël Cuissinat il y a environ 2 mois

#5 Mis à jour par Joël Cuissinat il y a environ 2 mois

  • Statut changé de En cours à Fermé
  • Restant à faire (heures) mis à 0.0

#6 Mis à jour par Joël Cuissinat il y a environ 2 mois

  • Lié à Scénario #35824: EOLE 2.10 : Création d'un projet eole-winbind ajouté

Formats disponibles : Atom PDF