Tento text je dálen neudržovaný a vmware image je zastaralý.
====== Freeradius 3 s lokalním ověřovaním ======
Připravili jsme pro Vás [[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|image]] pro VMWare (verze min. 4.0, velikost zhruba 1GiB) s předkonfigurovaným FreeRADIUS serverem verze 3.
Konfigurace radiusu je přednastavena na následující scénář:
- ověř lokální uživatele proti souboru users
- všechny ostatní uživatele pošli národnímu radiusu přes radsec spojení
- přijímej ověřovací požadavky z národního radiusu
Přístupové údaje v template: root s heslem "wheezy_Guga". Heslo si změňte příkazem ''passwd''.
Instalace je provedena na stabilní verzi Debianu s kódovým označením Wheezy.
[[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|Obraz ke stažení]]
===== Co je potřeba provést =====
- Kontaktujte správce národního radiusu, dohodněte si zejména jméno svého realmu (př. example.cz) a jméno radius serveru (př. radius.example.cz) podle [[cs:spravce:pripojovani:uvod|úvodu k připojení]].
- Nastavte si vlastní pevnou veřejnou IP adresu, úprava souboru ''/etc/network/interfaces''.
- Změna hostname, úprava souboru ''/etc/hostname''
- Nastavení svého realmu, v souboru ''/etc/freeradius/proxy.conf'' změňte jméno realmu ''radtest.ujep.cz'' na vlastní, který máte domluven s národním správcem eduroam.
- Serverový certifikát:
* je potřebný pro samotný radius, jím se prokazuje klientům
* je potřeba pro RadSec spojení s národním radiusem (zde je vyžadován certifikát od CESNET CA4 nebo TCS Server certifikát, detaily najdete na {{http://pki.cesnet.cz/|pki.cesnet.cz}})
* klíč uložte do souboru ''/etc/freeradius/certs/radius.key''.
* certifikát uložte do souboru ''/etc/freeradius/certs/radius.crt''
* spusťte ''c_rehash /etc/freeradius/certs/''
* restartujte radius: ''/etc/init.d/freeradius restart''
==== Vytvoření radius účtu ====
cd /etc/freeradius
./radius_passwd
/etc/init.d/freeradius restart
Skript vytváří hesla v cleartexu. Freeradius umí i NTLM hashe:
# smbencrypt kakao
LM Hash NT Hash
-------------------------------- --------------------------------
3658E2D04E81CC72AAD3B435B51404EE 30600A1973AA628A1F4C2F828C1CFF0C
Do users je třeba přidat uživatele s tímto heslem takto:
uziv NT-Password := 0x30600A1973AA628A1F4C2F828C1CFF0C
==== Definice AP klientů ====
Radius server důvěřuje pouze klientům uvedených v souboru ''/etc/freeradius/clients.conf''.
Definice sdíleného hesla pro AP:
client 192.168.10.0/24 {
secret =
shortname = aps
}
Pro jednoduchost definujte jedno sdílené heslo pro celou síť s wi-fi AP. Lze také pro každé AP (per IP adresa) mít jiné sdílené heslo.
==== Monitoring z ermon.cesnet.cz ====
Správce instituce získá sdílené heslo po přihlášení do {{https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin}} a vyhledáním svého RADIUS serveru.
Do souboru ''/etc/freeradius/clients.conf'' zapište heslo pro monitoring:
client 195.113.233.246 {
secret =
shortname = ermon
}
==== Když je vše v pořádku ====
Radius ověřuje požadavky na udp portu 1812 a na tcp portu 2083 přijímá požadavky z národního radiusu:
# netstat -ltupn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4039/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 11685/master
tcp 0 0 0.0.0.0:2083 0.0.0.0:* LISTEN 12137/freeradius
tcp6 0 0 :::22 :::* LISTEN 4039/sshd
udp 0 0 0.0.0.0:1812 0.0.0.0:* 12137/freeradius
udp 0 0 0.0.0.0:1813 0.0.0.0:* 12137/freeradius
udp 0 0 0.0.0.0:1814 0.0.0.0:* 12137/freeradius
udp 0 0 127.0.0.1:4000 0.0.0.0:* 12137/freeradius
udp 0 0 127.0.0.1:18120 0.0.0.0:* 12137/freeradius
V navázaných spojení jsou dvě RadSec spojení z/na národní radius:
# netstat -t
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 radtest.ujep.cz:40569 radius1.eduroam.cz:2083 ESTABLISHED
tcp 0 0 radtest.ujep.cz:2083 radius1.eduroam.c:48895 ESTABLISHED
Přicházejí požadavky a radius vrací "Login OK"
# tail -f /var/log/freeradius/radius.log
(69) Thu Dec 5 21:35:38 2013 : Auth: Login OK: [test@vsb.cz] (from client ermon port 0 cli 70-6F-6C-69-73-68)
==== Kontrola syntaxe konfiguračních souborů ====
/etc/init.d/freeradius configtest
==== Debugování Freeradiusu ====
Nejdříve si ověřte, že freeradius neběží, a pak spusťte:
freeradius -fxx -l stdout
Pozn. ''/etc/init.d/freeradius debug'' s aktivovaným radsecem nefunguje.
==== Úprava lokálního firewallu (iptables) ====
Upravit soubor ''/root/init_iptables''\\
Spustit soubor ''/root/init_iptables''\\
Pokud výpis neobsahuje chyby, uložit pravidla natrvalo příkazem: ''/etc/init.d/iptables save active''
==== Úprava konfigurace odesílání pošty ====
dpkg-reconfigure postfix