Novell eDirectory 8.7: eDirectory und FreeRADIUS

Schritte nach der Installation

Nach der Installation sind allerdings noch einige weitere Schritte erforderlich. Im eDirectory muss das universale Kennwort für alle Benutzer aktiviert werden, um die Verarbeitung der Authentifizierung von RADIUS-Clients korrekt durchführen zu können.

Für RADIUS muss zusätzlich ein spezielles Administrator-Objekt erzeugt werden. Dabei handelt es sich bei der Erstellung um ein normales Benutzerobjekt, das bei der späteren Konfiguration von RADIUS angegeben werden muss. Diesem Benutzer müssen nun aber Schreibberechtigungen für das ACL-Attribut der Benutzerkonten gegeben werden, deren universale Kennwörter gelesen werden müssen. Effektiv führt das dazu, dass das Benutzerkonto administrative Berechtigungen für diese Benutzerkonten erhält. Daher muss wohl überlegt werden, welchen Benutzern das spezielle Administrator-Objekt für RADIUS verfügbar gemacht wird. Grundsätzlich kann man dafür auch ein bestehendes administratives Konto auswählen. Das ist aber aus Sicherheitsgründen generell problematisch, wie weiter unten noch erörtert wird.

In einem weiteren Schritt sind noch die Kennwortrichtlinien entsprechend einzustellen. Wenn das Novell Password Management nicht installiert ist, muss nach der Aktivierung des universalen Kennworts im Container Security bei den dortigen Kennwortrichtlinien noch im Register General das Attribut nspmConfigurationOptions um den Wert 32 erhöht werden.

Schließlich ist es noch erforderlich, das selbstsignierte Zertifikat der CA des Novell eDirectory zu extrahieren und im Base64-Format abzulegen. Es wird ebenso wie das RADIUS-Administrationsobjekt bei der folgenden Anpassung der LDAP-Einstellungen benötigt.