Freeradius peut interroger une base externe via le protocole LDAP quand la primitive « ldap » est décommentée
dans le fichier « /etc/raddb/sites-enable/alcasar ». Tous les paramètres de connexion sont regroupés dans le
fichier « /etc/raddb/modules/ldap ». Ces paramètres sont modifiables via l'interface de gestion ou « à la main ». Les
modifications sont prises en compte après avoir relancé le service radiusd : « service radiusd restart ».
Paramètres Définition Remarques
server Nom du serveur LDAP (server = "ldap.example.com"
ou server = "@IP"
Le port de connexion par défaut est 389. Pour le changer : @
serveur:port
basedn Base de recherche des usagers à authentifier Voir l'exemple ci-dessous dans le cas d'Active Directory.
filter Recherche de l'identifiant ou attribut pour
l'authentification
Pour un ldap standard : filter = "(uid=%{Stripped-User-Name:-%
{User-Name}})"
Pour Active Directory : filter = "(samAccountName=%{Stripped-
User-Name:-%{User-Name}})"
Documentation technique ALCASAR – 2.6.1 11/17
Paramètres Définition Remarques
base_filter Filtre de recherche ldap complémentaire
Exemples :
– par défaut, vide
– base_filter="(objectclass=radiusprofile)"
– base_filter=''(memberof=groupe_alcasar)''
identity Compte possédant des droits en lecture sur l'annuaire.
Vide = connexion anonyme (LDAP)
Obligatoire pour Active Directory (sur le serveur AD, créer un
compte standard qui sera utilisé par ALCASAR pour l'interroger
l'annuaire à distance).
password Mot de passe associé au compte avec des droits de
lecture sur l'annuaire ldap.
Vide = connexion anonyme (LDAP).
Obligatoire pour Active Directory.
Par rapport à l'exemple d'annuaire présenté dans le document d'exploitation, les paramètres de ce fichiers
seraient les suivants :
basedn = "ou=User,ou=Utilisateur,ou=SITE_I2SC,dc=i2sc,dc=local"
filter = ''(samAccountName=%{Stripped-User-Name:-%{User-Name}})''
identity= ''cn=rldap,ou=Admin,ou=Utilisateur,ou=SITE_ISC,dc=i2sc,dc=local''
password = ''*******''
Il est possible de tester la liaison LDAP vers le serveur d'annuaire à partir du poste ALCASAR après avoir
installé le paquetage « ldap-tools ». La commande « ldapsearch -vWx -h @ip_A.D -b
"ou=User,ou=Utilisateur,ou=SITE_i2sc,dc=i2sc,dc=local" -D "rldap@i2sc.local"» permet de lister l'ensemble
des usagers contenu dans l'O.U. « User » (-v : verbeux, -b : la base recherchée, -D : le dn de l'usager autorisé à
requêter la base, -W : demande le mot de passe de manière interactive, -x : exploite l'authentification simple
plutôt que SASL)