Novell eDirectory 8.7: eDirectory und FreeRADIUS

Wichtige Parameter der Konfigurationsdatei

Die Konfiguration bezieht sich in erster Linie auf das RADIUS- Modul und das Zusammenspiel zwischen diesem und dem als LDAP-Server verwendeten Novell eDirectory. Die Konfigurationsdatei findet sich unter install_path/etc/raddb/radiusd.conf. Hier sind etliche Parameter anzupassen:

  • server muss auf den Hostnamen oder die IP-Adresse des verwendeten eDirectory-Servers gesetzt werden. FreeRADIUS und das eDirectory brauchen also nicht auf dem gleichen System ausgeführt werden.

  • identity gibt den vollständigen Namen für das in der Dokumentation als RADIUS-Serverobjekt bezeichnete Administrator- Objekt im eDirectory an.

  • password ist das Kennwort für dieses Objekt. Hier liegt ein generelles Problem bei der Verwendung von FreeRADIUS: Das Kennwort für ein Benutzerobjekt mit sehr weitreichenden administrativen Berechtigungen muss im Klartext in einer Konfigurationsdatei gespeichert werden. Selbst bei restriktiven Zugriffsberechtigungen ist das einigermaßen problematisch.

  • base-dn gibt den Container an, ab dem die Suche nach eDirectory-Benutzern für die RADIUSAuthentifizierung erfolgen soll.

  • filter muss generell auf den Wert (cn=%{Stripped- User-Name:-%{User-Name}}) gesetzt werden. _ start_tls aktiviert die Verwendung von SSL/ TLS. Der Wert ist Yes.

  • tls_mode legt fest, ob mit SSL/TLS gearbeitet werden soll. Der hier normalerweise zu verwendende Wert ist conditional. Damit wird SSL/TLS nicht zwingend genutzt.

  • tls_cacertfile gibt den Pfad zu der Datei mit dem selbstsignierten Zertifikat der CA an.

  • tls_require_cert erhält den Wert demand und legt fest, dass ein Zertifikat angefordert wird.

  • dictionary_mapping ist wieder ein Parameter, für den ein definierter Wert zwingend angegeben werden muss, in diesem Fall ${raddbdir}/ldap. attrmap.

  • password_attribute wird auf nspmPassword gesetzt und legt fest, welches Attribut im eDirectory das universale Kennwort enthält. Für den hier erforderlichen Zugriff benötigt der RADIUSAdministrator auch die weitgehenden Zugriffsberechtigungen für die Benutzerobjekte.

  • edir_account_policy_check gibt an, dass die Richtlinien für die Authentifizierung im eDirectory überprüft werden sollen. Damit wird ein Benutzer beispielsweise nach mehreren fehlerhaften Anmeldungen deaktiviert. Der Wert sollte in jedem Fall auf Yes gesetzt werden, um Angriffe mit fehlerhaften Kennwörtern soweit wie möglich zu verhindern.

  • access_attr hat den Wert dialupAccess. Dieses Attribut im eDirectory kann damit verwendet werden, um zu steuern, ob ein Benutzer über RADIUS zugreifen darf oder nicht.