我正在尝试使用 FreeRadius 配置单点登录。
场景:我有一个完全配置的 LDAP (389 DS) 版本 2.1,只有很少的用户和组(在 CentOS6 中)。我已经安装了 FreeRadius(最新的稳定版本)(在 CentOS 6 中)。配置 FreeRadius 以侦听上述 LDAP 服务器。
我使用 pam_radius 模块制作了一个客户端系统(CentOS6)作为半径客户端。现在,可以使用 LDAP 凭据登录 NAS 并在 FreeRadius 中正确获取日志。
现在,我想在此设置中实现单点登录,因为我想添加一些其他设备,如防火墙(Sonicwall)来进行身份验证。
我找不到任何好的文档来配置它。
有人可以建议我如何在上述设置中配置单点登录吗?
对于防火墙,大多数人只是根据需要使用记帐数据来启动和停止会话。这通常是从accounting {}freeradius 服务器的部分触发脚本,在 上创建会话并在 上Acct-Status-Type == Start销毁它Acct-Status-Type == Stop。
如果 PAM 模块发送临时更新,您可以将它们记录在数据库中,并设置“lastupdated”时间戳。然后,您有一个 cronjob 来检查 where 的NOW() - lastupdated > (interim-interval * 2)行,对于这些行,删除防火墙上的会话并关闭数据库中的会话。
我知道没有合适的 SSO 机制,它纯粹通过 RADIUS 运行,Project Moonshot 的人试图让一些东西与 SAML 和一种特殊的 EAP 方法一起工作,但它可能对你想要的东西来说太复杂了,而且 PAM 也不支持.