由于要创建新的AD树/域的LDAPS连接要求,我正在尝试将旧的2.x服务器迁移到3.x。我不仅要升级Freeradius,还要升级服务器操作系统,以支持较新版本的TLS。我大致在2.x中具有我认为正确的配置,但不能100%确定,因为对新AD树结构的身份验证由于SSL / TLS不兼容而不能完全起作用。我在使用3.x中的新模块配置布局时遇到了麻烦。
当前的2.x对2种方法执行身份验证:1)使用冗余服务器设置将LDAP映射到现有的AD树2)通过自定义模块的SQL / PERL。
我需要通过2种方法执行3种身份验证检查的新3.x服务器:1)使用冗余服务器设置将LDAP映射到现有的AD树2)LDAPS到新的AD树(可能的冗余服务器设置)3)通过自定义模块的SQL / PERL
我已经读到,这可能需要LDAP配置模板,但尚未找到任何示例。任何帮助/指导将不胜感激。
该配置全部在LDAP模块配置文件中,raddb/mods-available/ldap-ldap属性映射也位于其中。
要连接到两个不同的LDAP服务器,请创建ldap模块的两个实例,例如您在哪里
ldap {
...
}
使用添加该配置的另一个副本
ldap ldap-new {
...
}
然后,您可以在需要查询所需LDAP服务器的服务器中适当地调用ldap或ldap-new。
请确保您创建了适当的符号链接以启用该模块,例如raddb/mods-enabled/ldap -> ../mods-available/ldap。
您当然可以使用模板来保存重复的配置,但是首先复制ldap配置文件,在新文件中更改实例名称,然后从那里进行调整要容易得多。除非您知道自己在做什么,否则模板可能会使事情更加混乱。