git.sur5r.net Git - openldap/blob - contrib/slapd-modules/passwd/slapd-pw-radius.5

   1 .TH SLAPD-PW-RADIUS 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2015-2018 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .\" $OpenLDAP$
   5 .SH NAME
   6 slapd-pw-radius \- Radius backend password module to slapd
   7 .SH SYNOPSIS
   8 ETCDIR/slapd.conf
   9 .RS
  10 .LP
  11 .B moduleload
  12 .B pw-radius
  13 .I /path/to/radius.conf
  14 .RE
  15 .SH DESCRIPTION
  16 .LP
  17 The
  18 .B pw-radius
  19 module to
  20 .BR slapd (8)
  21 provides support for using a RADIUS infrastructure as backend to
  22 verify the password provided in Simple Bind operations to OpenLDAP.
  23 .LP
  24 It does so by providing an additional password scheme for use in slapd:
  25 .RS
  26 .TP
  27 .B {RADIUS}
  28 RADIUS password scheme
  29 .RE
  30 .LP
  31 Unlike in other password schemes, the value following the scheme is not
  32 a - potentially hashed - password, but the name of the corresponding
  33 RADIUS user in the RADIUS infrastructure.
  34 .LP
  35 This value, together with the password used in the Simple Bind operation,
  36 will be sent to the RADIUS server for authentication.
  37 .LP
  38 If the RADIUS server successfully authenticates the user,
  39 then the password verification succeeds, resulting in the LDAP Bind
  40 operation's success.
  41 .LP
  42 Conversely, failed RADIUS authentications leads to failing LDAP Binds.
  43
  44 .SH CONFIGURATION
  45 The
  46 .B pw-radius
  47 module needs no configuration beyond the additional
  48 .I filename
  49 argument to
  50 .BR slapd.conf (5)'s
  51 .B moduleload
  52 directive.
  53 This filename is expected to point to a valid
  54 .BR radius.conf (5).
  55 file adhering to
  56 .BR libradius (3).
  57 .LP
  58 After loading the module, the password scheme
  59 .B {RADIUS}
  60 will be recognised in values of the
  61 .I userPassword
  62 attribute.
  63
  64 .SH NOTES
  65 Owing to its construction, using the
  66 .B {RADIUS}
  67 scheme as argument to the
  68 .BR password-hash
  69 option in
  70 .BR slapd.conf (5)
  71 does not make much sense, because of the scheme's construction.
  72 .LP
  73 This also applies to the use of the
  74 .B {RADIUS}
  75 scheme in
  76 .B slappasswd
  77 or
  78 .BR ldappasswd .
  79
  80
  81 .SH EXAMPLES
  82 To indicate that Simple Bind operations shall use the RADIUS user
  83 .B johndoe
  84 when validating passwords against the RADIUS infrastructure,
  85 set a user's LDAP attribute userPassword to:
  86 .EX
  87 .LP
  88 userPassword: {RADIUS}johndoe
  89 .EE
  90
  91 .SH LIMITATIONS
  92 Due to the way the configuration is loaded (additional argument
  93 to slapd.conf's moduleload directive), this module cannot be used
  94 with table-driven configuration.
  95
  96 .SH SEE ALSO
  97 .BR slapd.conf (5),
  98 .BR libradius (3)
  99 .BR ldap (3),
 100 .LP
 101 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 102 .LP
 103
 104 .SH ACKNOWLEDGEMENTS
 105 This manual page has been written by Peter Marschall.
 106 .LP
 107 .B OpenLDAP
 108 is developed and maintained by The OpenLDAP Project (http://www.openldap.org/).
 109 .B OpenLDAP
 110 is derived from University of Michigan LDAP 3.3 Release.