FreeRADIUS change de domaine utilisateur

Question

J'ai travaillé sur un projet en cours pour configurer FreeRADIUS avec Google Authenticator à des fins d'authentification à deux facteurs. J'ai utilisé cette guide.

Tout fonctionne bien et j'ai même écrit des scripts pour générer et envoyer par courrier électronique les codes QR aux utilisateurs, mais il y a un dernier obstacle que j'aimerais surmonter.

Par exemple:

dire que notre domaine AD est my.domain.com et j'authentifie contre FreeRADIUS avec le nom d'utilisateur user@my.domain.com tout fonctionne bien. Le problème est que notre solution RAS n'envoie pas toujours le domaine complet à FreeRADIUS. Dans les journaux, je voyais le nom d'utilisateur en tant qu'utilisateur @ mon (nom de domaine Pre-2000). Naturellement, cela échoue. Ce que j'essaye de réaliser est d'obtenir FreeRADIUS pour attraper ceci et remplacer @ my avec @ my.domain.com.

L'autre option consiste à reconfigurer tous les clients RAS et comme ceux-ci sont presque tous utilisés à distance, cela ne serait pas pratique.

Je suis sûr que FreeRADIUS peut le faire, quelqu'un peut-il m'aider?

Answer 1

OK, je l'ai.

Juste au cas où quelqu'un d'autre a besoin de savoir voici ce que j'ai fait.

j'ajouté ce qui suit à/etc/raddb/conseils (peut varier selon distro mais je suis sur CentOS 7)

DEFAULT Suffix == "@my", Strip-User-Name = No 
    User-Name := "%{User-Name}.domain.com" 


DEFAULT User-Name !~ ".*@" 
    User-Name := "%{User-Name}@my.domain.com" 

La première regarde l'entrée pour voir si le suffixe est JUSTE @my et ajoute .domain.com au nom d'utilisateur si c'est le cas.

La seconde entrée vérifie si un @ est présent et, si ce n'est pas le cas, ajoute @ my.domain.com au nom d'utilisateur. Cela s'est avéré être une exigence supplémentaire non mentionnée ci-dessus.

Espérons que c'est utile à quelqu'un. ça fonctionne parfaitement maintenant.