特定の NAS によるアクセス権を制限するには
リモートユーザーを常に特定のネットワークアクセスサーバー (NAS) に接続したい場合があります。たとえば、通信費用を節約したい場合は、リモートユーザーを地理的に最も近い NAS に接続できます。
-
USERS テーブルの「Dynamic」セクションにおいて、次の書式で BaseDN と FILTER トークンを接尾辞 _nasname の構成に追加し、一時的な値を割り当てます。
BASEDN_nasname= search_baseFilter_ nasname= (&(Objectclass=remoteUser)(uid=$UserID))
-
nasname は NAS 名です (この NAS に対するディレクトリエントリの cn 属性値)。
-
search_base は、NAS からアクセス権を与えるリモートユーザーのディレクトリエントリを持つ名前付きコンテキストです。
-
-
dsradiusd デーモンを再起動します。これにより、新しい構成ファイルが有効になります。
# /opt/SUNWconn/ldap/sbin/dsradius stop # /opt/SUNWconn/ldap/sbin/dsradius start
たとえば、リモートユーザーの基本識別名が l=France, o=XYZ, c=US で、Paris、Lyon、Toulouse にいるリモートユーザーがそれぞれのローカル NAS からネットワークに接続できるとします。NAS 名は、それぞれ ParisNAS、LyonNAS、ToulouseNAS です。通信費用の節約のために、リモートユーザーが常に最も近い NAS を通してネットワークに接続します。
このため、radius.mapping ファイルを変更して次の行を組み込みます。
BaseDN= l=France, o=xyz, c=us BaseDN_ParisNAS= l=Paris, l=France, o=xyz, c=us BaseDN_LyonNAS= l=Lyon, l=France, o=xyz, c=us BaseDN_ToulouseNAS= l=Toulouse, l=France, o=xyz, c=us FILTER=(&(Objectclass=remoteUser)(uid=$UserID))
RADIUS サーバーは、ParisNAS から要求を受け取ると、リモートユーザーが名前付きコンテキスト l=Paris, l=France, o=XYZ, c=US に属しているかどうかを確認します。
- © 2010, Oracle Corporation and/or its affiliates