Samba, LDAP y radius
Servidor Samba, Ldap y Radius para EAP con wifi
Introducción
Se trata de configurar un servidor que permita validar el acceso a wifi mediante EAP, tanto TLS como PEAP a partir de una base de datos de usuarios samba almacenada en LDAP. Esta base de datos incluso podía estar almacenada en un servidor de dominio externo con un simple cambio de configuración de samba.
La instalación toma como referencia una distribución de Linux Fedora. En cualquier otra distribución serían necesarios ciertos cambios menores para adaptarse a sus características particulares.
Lee más: Introducción: Servidor Samba, Ldap y Radius para EAP con wifi
Proxy squid
Validación de acceso al proxy
Editamos el fichero /etc/squid/squid.conf y añadimos lo siguiente:
cache_effective_group radiusd ############################################### auth_param ntlm program /usr/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp \ --require-membership-of="BEZMI.IES\\Domain Users" \ --domain=BEZMI.IES auth_param ntlm children 30 # warning: basic authentication sends passwords plaintext # a network sniffer can and will discover passwords auth_param basic program /usr/bin/ntlm_auth \ --helper-protocol=squid-2.5-basic \ --require-membership-of="BEZMI.IES\\Domain Users" \ --domain= BEZMI.IES auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours ################################################ acl AuthorizedUsers proxy_auth REQUIRED http_access allow all AuthorizedUsers ################################################
La primera de la línea es necesaria para que radiusd y squid puedan compartir el acceso a winbind.