使用radius和OpenLDAP来认证unifi AP
公司目前用的WIFI是unifi的AP,员工离职后仍然可以连接公司WIFI,是一个安全隐患,所以准备将AP接入radius来认证,数据取自openldap,员工离职删除openldap账号即可。
本次操作系统使用的是CentOS 7
OpenLDAP
参考文章:https://www.server-world.info/en/note?os=CentOS_7&p=openldap
安装OpenLDAP
1 | yum install -y openldap openldap-clients openldap-servers |
OpenLDAP基础配置
生成一个密码
slappasswd
将生成的密码复制保存设置root密码
chrootpw.ldif
1
2
3
4dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}nLyOWsRyvfvC6zRBL7M2ltlutgrIgnHH1
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
导入基本结构
1
2
3ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
设置目录管理员密码
chdomain.ldif
1 | dn: olcDatabase={1}monitor,cn=config |
1 | ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif |
OpenLDAP创建用户
basedomain.ldif
1 | dn: dc=nutstore,dc=com |
1 | spawn ldapadd -x -D cn=Manager,dc=nutstore,dc=com -W -f basedomain.ldif |
add_user.ldif
1 | dn: uid=zhangsan,ou=People,dc=nutstore,dc=com |
1 | spawn ldapadd -x -D cn=Manager,dc=nutstore,dc=com -W -f add_user.ldif |
防火墙放开端口
略
FreeRadius
安装FreeRadius
1 | yum install -y freeradius freeradius-utils freeradius-ldap |
配置FreeRadius
配置客户端连接信息
客户端连接信息:/etc/raddb/clients.conf
,客户端使用这个secret
来连接radius
1 | client private-network-1 { |
配置LDAP连接信息
ldap连接信息在/etc/raddb/mods-available/ldap
1 | /etc/raddb/mods-enabled |
编辑/etc/raddb/mods-enabled/ldap
1 | ldap { |
启动FreeRadius
调试模式启动
1 | radiusd -X |
正常启动
1 | systemctl enable --now radiusd |
unifi
需要先下载ac控制器,取得管理后台权限。
在 Settings – Advanced Features – Radius – Add Radius Profile
打开enable Wireless选项
secret位置填写上面的/etc/raddb/clients.conf
对应的secret
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 杂烩饭!
评论