FreeRADIUS更改用户域

Question

我一直在努力使用Google Authenticator配置FreeRADIUS进行双因素身份验证。

我用这个guide。

一切都很好，我甚至写了脚本来生成QR码并通过电子邮件发送给用户，但还有一个我想克服的障碍。

例如：

说我们的AD域是my.domain.com我对FreeRADIUS的身份验证的用户名user@my.domain.com一切工作正常。问题是我们的RAS解决方案有时并不总是将完整的域发送给FreeRADIUS。在日志中，我会看到用户名为user @ my（2000之前的域名）。自然这失败了。

我想要实现的是让FreeRADIUS抓住这个并用@ my.domain.com取代@my。

另一个选择是重新配置所有的RAS客户端，并且由于这些几乎都是远程使用，这将是不切实际的。

我确定FreeRADIUS可以做到，有人可以帮助我吗？

Answer 1

好吧，明白了。

以防万一其他人需要知道我在做什么。

添加以下到/ etc/raddb /提示（可能由发行变化，但我在CentOS 7）

DEFAULT Suffix == "@my", Strip-User-Name = No 
    User-Name := "%{User-Name}.domain.com" 


DEFAULT User-Name !~ ".*@" 
    User-Name := "%{User-Name}@my.domain.com" 

第一项查看是否后缀是JUST @my，并增加了.domain.com如果是用户名。

第二项检查@是否存在，如果没有，则将@ my.domain.com添加到用户名。这原来是上面没有提到的额外要求。

希望对某人有用。现在就像魅力一样。