Erinevus lehekülje "Eduroami kasutamiseks Radius server seadistamine" redaktsioonide vahel
(→Radius serveri seadistus) |
(→Radius serveri seadistus) |
||
| 70. rida: | 70. rida: | ||
ants User-Password == "parool" | ants User-Password == "parool" | ||
| + | |||
| + | Soovides kasutada autentimiseks lokaalseid kasutajaid tuleb kirjutada | ||
| + | |||
| + | DEFAULT Auth-Type = System | ||
| + | Fall-Through = 1 | ||
'''radiusd.conf''' tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused | '''radiusd.conf''' tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused | ||
Redaktsioon: 24. september 2010, kell 11:53
Radius serveri seadistus
NB! VEEL POOLIK TEKST, kasutamisel võib esinda probleeme
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP ning vaja on seadistada radius külge 2 wifi seadet ip'dega 192.168.3.10 ja 192.168.3.20. Kõrgemal asuvateks radius serveriteks kuhu saadame mitte lokaalseid autentimis päringuid ning mis omakorda meilt mõningate serveri lokaalsete kasutajate kohta pärivad mis hetkel mõnes teises 'radius.server.ee ja 'radius2.server.ee'
FreeRadius install
- Redhat, Fedora, CentOS - yum install freeradius
- Debian, Ubuntu - apt-get install freeradius
- FreeBSD - cd /usr/ports/net/freeradius && make install clean
- ...
Edasi peale paigaldamist tuleb liikuda süsteemi etc alla (debian freeradius, redhat, freebsd raddb) radiuse seadistuskausta
clients.conf sisaldab kohalikke wifi seadmeid ning samuti kõrgemal asuvaid radius servereid nt EENeti omi mis saavavad päringuid väljaspool antud wifi võrku asuvate kasutajate autentimiseks
# EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid
client mingivälineipaadress {
secret = parool
shortname = radius.server.ee
}
client mingivälineipaadress {
secret = parool
shortname = radius2.server.ee
}
# wifi seadmed, kohalikud ap'd
client 192.168.3.10 {
secret = parool1
shortname = wifi1
}
client 192.168.3.20 {
secret = parool2
shortname = wifi2
}
proxy conf, ehk määrang kuhu mis autentimise päringud võrku tulnud kasutajate korral suunatalse
# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu
realm zoo.tartu.ee {
type = radius
authhost = LOCAL
accthost = LOCAL
}
# kõik päringud mida ei saa lahendada lokaalselt saadetakse edasi .ee top-level radiuse proxy-dele
#
realm DEFAULT {
type = radius
authhost = radius.server.ee:1812
accthost = radius.server.ee:1813
secret = parool
nostrip
}
realm DEFAULT {
type = radius
authhost = radius2.server.ee:1812
accthost = radius2.server.ee:1813
secret = parool
nostrip
}
users
Fail kuhu saab kirjutada kasutajad katsetamiseks, neid tuleb tekitada kujul.
ants User-Password == "parool"
Soovides kasutada autentimiseks lokaalseid kasutajaid tuleb kirjutada
DEFAULT Auth-Type = System
Fall-Through = 1
radiusd.conf tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused lisaks võib kaotada ära st väljakommenteerida erinevad protokollid ja autentimise mehanismid mis kasutamist ei leia nt ldap, mysql etc.
authorize {
preprocess
auth_log
mschap
suffix
eap
files
}
authenticate {
Auth-Type PAP {
pap
}
Auth-Type MS-CHAP {
mschap
}
unix
}
ja modules sektsiooni
$INCLUDE ${confdir}/eap.conf
mschap {
authtype = MS-CHAP
use_mppe = yes
require_encryption = yes
require_strong = yes
}
Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema
eap.conf peaks sisaldama järgnevat, vaja on eelnevalt genereerida sertifikaadid
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
tls {
private_key_file = /usr/local/secret/server.key
certificate_file = /usr/local/secret/server.crt
# Trusted Root CA list
CA_file = ${raddbdir}/certs/SK.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
ttls {
default_eap_type = md5
}
peap {
default_eap_type = mschapv2
}
mschapv2 {
}
}
