我尝试使用FreeRadius配置单点登录。
方案: 我有一个完全配置的LDAP(389 DS)版本-2.1,用户和组很少(在CentOS6中)。 我安装了FreeRadius(最新稳定版)(在CentOS 6中)。 配置FreeRadius以侦听上述LDAP服务器。
我使用pam_radius模块将客户端系统(CentOS6)作为radius客户端。现在,我可以使用LDAP凭据登录NAS并在FreeRadius中正确获取日志。
现在,我想在此设置中实现单点登录,因为我想添加一些其他设备,如防火墙(Sonicwall)进行身份验证。
我找不到任何好的文档来配置它。
有人可以建议我在上面的设置中如何配置单点登录吗?
答案 0 :(得分:2)
对于防火墙,大多数人只是使用会计数据来适当地启动和停止会话。这通常是在freeradius服务器的accounting {}部分内触发脚本,在Acct-Status-Type == Start上创建会话并在Acct-Status-Type == Stop上销毁它。
如果PAM模块发送Interim-Updates,您可以将其记录在数据库中,并设置“lastupdated”时间戳。然后,您有一个cronjob来检查NOW() - lastupdated > (interim-interval * 2)的行,对于这些行,删除防火墙上的会话并关闭数据库中的会话。
我知道没有适当的SSO机制,它纯粹是通过RADIUS运行的,Project Moonshot的人正在尝试使用SAML和一种特殊的EAP方法,但它可能对你想要的东西太复杂了,而且不支持无论如何,通过PAM。