Radius et ldap, suite et fin
@@modules {@@
@@ ldap1 {@@
@@ server = "ldap.domain.com" @@
@@ basedn = "ou=people,dc=domain,dc=com"@@
@@ filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"@@
@@ start_tls = yes@@
@@ dictionary_mapping = ${raddbdir}/ldap.attrmap@@
@@ ldap_connections_number = 5@@
@@ timeout = 4@@
@@ timelimit = 3@@
@@ net_timeout = 1@@
@@ }@@
@@ ldap2 {@@
@@ server = "anotherldap.domain.com" @@
@@ basedn = "ou=people,dc=domain,dc=com"@@
@@ filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"@@
@@ start_tls = yes@@
@@ dictionary_mapping = ${raddbdir}/ldap.attrmap@@
@@ ldap_connections_number = 5@@
@@ timeout = 4@@
@@ timelimit = 3@@
@@ net_timeout = 1@@
@@ }@@
@@}@@
@@authorize {@@
@@ preprocess@@
@@ files@@
@@ ldap1@@
@@ ldap2@@
@@}@@
@@authenticate{@@
@@ Auth-Type ldap {@@
@@ group {@@
@@ ldap1 {@@
@@ reject = 1@@
@@ ok = return@@
@@ } @@
@@ ldap2 {@@
@@ reject = return@@
@@ ok = return@@
@@ }@@
@@ }@@
@@ }@@
@@}@@
L'astuce résidait donc en fait à créer des groupes dans le module d'authentification et de jouer avec le failover dessus.
Deux possibilités donc :
Soit je suis passé trop vite sur ce paragraphe et j'aurai pu résoudre hier, mais apparement je ne suis pas le seul,
Soit la doc à ce niveau là est assez mal faite.