Erinevus lehekülje "Eduroami kasutamiseks Radius server seadistamine" redaktsioonide vahel
(→Radius serveri seadistus) |
|||
| (ei näidata sama kasutaja 21 vahepealset redaktsiooni) | |||
| 6. rida: | 6. rida: | ||
saadame mitte lokaalseid autentimis päringuid ning mis omakorda meilt mõningate serveri lokaalsete kasutajate kohta pärivad | saadame mitte lokaalseid autentimis päringuid ning mis omakorda meilt mõningate serveri lokaalsete kasutajate kohta pärivad | ||
mis hetkel mõnes teises ''''radius.server.ee''' ja ''''radius2.server.ee'''' | mis hetkel mõnes teises ''''radius.server.ee''' ja ''''radius2.server.ee'''' | ||
| + | |||
| + | ___ | ||
| + | | |_________________ ___ | ||
| + | |___| |_________| | | ||
| + | radius.eenet.ee _|_ |___| | ||
| + | .... ............. | | Server kasutajatunnustega | ||
| + | .. .... ... . |___| (nt ldapis asuv kataloog) | ||
| + | ....Internet radius2.eenet.ee | ||
| + | ...... | ||
| + | _|_ | ||
| + | | | | ||
| + | |___| radius server ja lokaalsed kasutajad | ||
| + | | | ||
| + | | Lokaalvõrk | ||
| + | ________|______ | ||
| + | _|_ _|_ | ||
| + | | | | | | ||
| + | |___| |___| | ||
| + | wifi ap1 wifi ap2 ..... __ | ||
| + | .....wifi ... |__| | ||
| + | ..... wifi kaugemalt pärit klient | ||
| + | __ | ||
| + | |__| | ||
| + | wifi lokaalne klient | ||
| + | |||
| + | Näites täpsemalt paneme test eduroami käima Freeradiusega (hetkel ver 2.1.10), autentimine käib nii TTLS-PAP (unixi passwd faili vastu) kui ka PEAP-MSCHAPv2 (samba paroolifaili vastu). Soovides kasutada Ldapi andmebaasi sõltub sellest palju mis kujul paroolid LDAP-is on -- kui seal on kirjas NT-HASH, saab kasutada mõlemat (TTLS ja PEAP), kui aga pole, siis ainult EAP-TTLS-PAP. Windowsi kasutajatele on mugavam PEAP, kuna siis ei pea lisatarkvara installima, samas on teine variant väidetavalt turvalisem. | ||
FreeRadius install | FreeRadius install | ||
| 19. rida: | 45. rida: | ||
päringuid väljaspool antud wifi võrku asuvate kasutajate autentimiseks | päringuid väljaspool antud wifi võrku asuvate kasutajate autentimiseks | ||
| + | <source lang=bash> | ||
# EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid | # EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid | ||
| − | client | + | client mingiv2lineipaadress { |
secret = parool | secret = parool | ||
| − | shortname = radius. | + | shortname = radius.eenet.ee |
} | } | ||
| − | client | + | client mingiv2lineipaadress { |
secret = parool | secret = parool | ||
| − | shortname = radius2. | + | shortname = radius2.eenet.ee |
} | } | ||
| 38. rida: | 65. rida: | ||
shortname = wifi2 | shortname = wifi2 | ||
} | } | ||
| + | </source> | ||
'''proxy conf,''' ehk määrang kuhu mis autentimise päringud võrku tulnud kasutajate korral suunatalse | '''proxy conf,''' ehk määrang kuhu mis autentimise päringud võrku tulnud kasutajate korral suunatalse | ||
| − | + | <source lang=bash> | |
# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu | # kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu | ||
realm zoo.tartu.ee { | realm zoo.tartu.ee { | ||
| 52. rida: | 80. rida: | ||
realm DEFAULT { | realm DEFAULT { | ||
type = radius | type = radius | ||
| − | authhost = radius. | + | authhost = radius.eenet.ee:1812 |
| − | accthost = radius. | + | accthost = radius.eenet.ee:1813 |
secret = parool | secret = parool | ||
nostrip | nostrip | ||
| 59. rida: | 87. rida: | ||
realm DEFAULT { | realm DEFAULT { | ||
type = radius | type = radius | ||
| − | authhost = radius2. | + | authhost = radius2.eenet.ee:1812 |
| − | accthost = radius2. | + | accthost = radius2.eenet.ee:1813 |
secret = parool | secret = parool | ||
nostrip | nostrip | ||
} | } | ||
| − | + | </source> | |
'''users''' | '''users''' | ||
| 78. rida: | 106. rida: | ||
'''radiusd.conf''' tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused | '''radiusd.conf''' tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused | ||
lisaks võib kaotada ära st väljakommenteerida erinevad protokollid ja autentimise mehanismid mis kasutamist ei leia nt ldap, mysql etc. | lisaks võib kaotada ära st väljakommenteerida erinevad protokollid ja autentimise mehanismid mis kasutamist ei leia nt ldap, mysql etc. | ||
| − | + | <source lang=bash> | |
authorize { | authorize { | ||
preprocess | preprocess | ||
| 97. rida: | 125. rida: | ||
unix | unix | ||
} | } | ||
| − | + | # ja modules sektsiooni | |
| − | ja modules sektsiooni | ||
$INCLUDE ${confdir}/eap.conf | $INCLUDE ${confdir}/eap.conf | ||
| 108. rida: | 135. rida: | ||
require_strong = yes | require_strong = yes | ||
} | } | ||
| + | </source> | ||
Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema | Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema | ||
| − | '''eap.conf''' peaks sisaldama järgnevat, vaja on eelnevalt genereerida sertifikaadi failid server.key ja server.crt | + | '''eap.conf''' peaks sisaldama järgnevat, vaja on eelnevalt genereerida sertifikaadi failid server.key ja server.crt. Radiuse sertifikaadid soovitatakse teha self-signed, on turvalisem. |
| + | <source lang=bash> | ||
eap { | eap { | ||
default_eap_type = md5 | default_eap_type = md5 | ||
| 146. rida: | 175. rida: | ||
} | } | ||
} | } | ||
| + | </source> | ||
| + | |||
| + | Ehitamise kohta on mõned tekstid eduroam.org veebis, näiteks Documents lehel "eduroam CookBook". | ||
| + | |||
| + | * http://www.howtoforge.org/setting-up-a-freeradius-based-aaa-server-with-mysql-and-management-with-daloradius | ||
| + | |||
| + | Teised NRENid kiidavad Radiatorit, mis on küll tasuline tarkvara. | ||
| + | |||
| + | * https://wiki.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus | ||
| + | |||
| + | väga põhjalik õpetus Terena lehel | ||
Viimane redaktsioon: 30. oktoober 2014, kell 21:36
Radius serveri seadistus
NB! VEEL POOLIK TEKST, kasutamisel võib esinda probleeme
Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP ning vaja on seadistada radius külge 2 wifi seadet ip'dega 192.168.3.10 ja 192.168.3.20. Kõrgemal asuvateks radius serveriteks kuhu saadame mitte lokaalseid autentimis päringuid ning mis omakorda meilt mõningate serveri lokaalsete kasutajate kohta pärivad mis hetkel mõnes teises 'radius.server.ee ja 'radius2.server.ee'
___
| |_________________ ___
|___| |_________| |
radius.eenet.ee _|_ |___|
.... ............. | | Server kasutajatunnustega
.. .... ... . |___| (nt ldapis asuv kataloog)
....Internet radius2.eenet.ee
......
_|_
| |
|___| radius server ja lokaalsed kasutajad
|
| Lokaalvõrk
________|______
_|_ _|_
| | | |
|___| |___|
wifi ap1 wifi ap2 ..... __
.....wifi ... |__|
..... wifi kaugemalt pärit klient
__
|__|
wifi lokaalne klient
Näites täpsemalt paneme test eduroami käima Freeradiusega (hetkel ver 2.1.10), autentimine käib nii TTLS-PAP (unixi passwd faili vastu) kui ka PEAP-MSCHAPv2 (samba paroolifaili vastu). Soovides kasutada Ldapi andmebaasi sõltub sellest palju mis kujul paroolid LDAP-is on -- kui seal on kirjas NT-HASH, saab kasutada mõlemat (TTLS ja PEAP), kui aga pole, siis ainult EAP-TTLS-PAP. Windowsi kasutajatele on mugavam PEAP, kuna siis ei pea lisatarkvara installima, samas on teine variant väidetavalt turvalisem.
FreeRadius install
- Redhat, Fedora, CentOS - yum install freeradius
- Debian, Ubuntu - apt-get install freeradius
- FreeBSD - cd /usr/ports/net/freeradius && make install clean
- ...
Edasi peale paigaldamist tuleb liikuda süsteemi etc alla (debian freeradius, redhat, freebsd raddb) radiuse seadistuskausta
clients.conf sisaldab kohalikke wifi seadmeid ning samuti kõrgemal asuvaid radius servereid nt EENeti omi mis saavavad päringuid väljaspool antud wifi võrku asuvate kasutajate autentimiseks
# EE top-level radiuse serverid mis proxyvad meile väljaspoolt päringuid
client mingiv2lineipaadress {
secret = parool
shortname = radius.eenet.ee
}
client mingiv2lineipaadress {
secret = parool
shortname = radius2.eenet.ee
}
# wifi seadmed, kohalikud ap'd
client 192.168.3.10 {
secret = parool1
shortname = wifi1
}
client 192.168.3.20 {
secret = parool2
shortname = wifi2
}
proxy conf, ehk määrang kuhu mis autentimise päringud võrku tulnud kasutajate korral suunatalse
# kohalikud kasutajad autenditakse lokaalse serveri andmebaasi vastu
realm zoo.tartu.ee {
type = radius
authhost = LOCAL
accthost = LOCAL
}
# kõik päringud mida ei saa lahendada lokaalselt saadetakse edasi .ee top-level radiuse proxy-dele
#
realm DEFAULT {
type = radius
authhost = radius.eenet.ee:1812
accthost = radius.eenet.ee:1813
secret = parool
nostrip
}
realm DEFAULT {
type = radius
authhost = radius2.eenet.ee:1812
accthost = radius2.eenet.ee:1813
secret = parool
nostrip
}
users
Fail kuhu saab kirjutada kasutajad katsetamiseks, neid tuleb tekitada kujul.
ants User-Password == "parool"
Soovides kasutada autentimiseks lokaalseid kasutajaid tuleb kirjutada
DEFAULT Auth-Type = System
Fall-Through = 1
radiusd.conf tarkvara peamine seadistusfail. Faili suure mahu tõttu ei hakka seda tervenisti välja tooma vaid ainult muudatused lisaks võib kaotada ära st väljakommenteerida erinevad protokollid ja autentimise mehanismid mis kasutamist ei leia nt ldap, mysql etc.
authorize {
preprocess
auth_log
mschap
suffix
eap
files
}
authenticate {
Auth-Type PAP {
pap
}
Auth-Type MS-CHAP {
mschap
}
unix
}
# ja modules sektsiooni
$INCLUDE ${confdir}/eap.conf
mschap {
authtype = MS-CHAP
use_mppe = yes
require_encryption = yes
require_strong = yes
}
Kontrollida tuleks ,et files blokk oleks samuti olemas, üldiselt peaks default seadistuses see olema
eap.conf peaks sisaldama järgnevat, vaja on eelnevalt genereerida sertifikaadi failid server.key ja server.crt. Radiuse sertifikaadid soovitatakse teha self-signed, on turvalisem.
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
tls {
private_key_file = /usr/local/secret/server.key
certificate_file = /usr/local/secret/server.crt
# Trusted Root CA list
CA_file = ${raddbdir}/certs/SK.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
ttls {
default_eap_type = md5
}
peap {
default_eap_type = mschapv2
}
mschapv2 {
}
}
Ehitamise kohta on mõned tekstid eduroam.org veebis, näiteks Documents lehel "eduroam CookBook".
Teised NRENid kiidavad Radiatorit, mis on küll tasuline tarkvara.
väga põhjalik õpetus Terena lehel
