Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3 [2018/07/27 09:51] machv@cesnet.cz |
cs:spravce:pripojovani:radius:freeradius3 [2018/12/21 11:43] jan.tomasek@cesnet.cz [Instalace FreeRADIUSu 3.x.x pro eduroam] |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Instalace FreeRADIUSu 3.x.x pro eduroam ====== | ====== Instalace FreeRADIUSu 3.x.x pro eduroam ====== | ||
- | Tento návod Vás provede instalací RADIUS serveru [[http://freeradius.org|FreeRADIUS 3.x]] na operačních systémech Debian GNU/Linux Jessie a CentOS 7 (RHEL 7). RADIUS server je potřebný pro zapojení do //eduroam// infrastruktury. Použitá ověřovací metoda je PEAP s protokolem MS-CHAPv2. | + | Návod Vás provede instalací RADIUS serveru [[http://freeradius.org|FreeRADIUS 3.x]] na operačních systémech Debian GNU/Linux Jessie a CentOS 7 (RHEL 7). RADIUS server je potřebný pro zapojení do //eduroam// infrastruktury. Použitá ověřovací metoda je PEAP s protokolem MS-CHAPv2. |
V případě, že jste zkušený správce linuxových systémů a používáte Debian, můžete využít automatizovanou instalaci pomocí Ansible: [[cs:spravce:pripojovani:radius:freeradius_playbook]] | V případě, že jste zkušený správce linuxových systémů a používáte Debian, můžete využít automatizovanou instalaci pomocí Ansible: [[cs:spravce:pripojovani:radius:freeradius_playbook]] | ||
Řádek 55: | Řádek 55: | ||
<file> | <file> | ||
- | yum -y install freeradius freeradius-utils | + | yum -y install freeradius freeradius-utils freeradius-sqlite |
</file> | </file> | ||
Řádek 228: | Řádek 228: | ||
==== Zamítání chybných realmů ==== | ==== Zamítání chybných realmů ==== | ||
- | Často se objevují realmy myabc.com, 3gppnetwork.org, ... také se objevuje mezera za realmem (androidí klávesnice a doplňování). Uživatele kteří udělají takovou chybu není možné ověřit a je lepší je odfiltrovat co nejdříve. Stáhněte si soubor [[https://github.com/CESNET/ansible-freeradius/blob/master/files/eduroam-realm-checks|eduroam-realm-checks]] do ''/etc/freeradius/policy.d/'' a potom v ''/etc/freeradius/sites-enabled/defaults'': | + | Často se objevují realmy myabc.com, 3gppnetwork.org, ... také se objevuje mezera za realmem (androidí klávesnice a doplňování). Uživatele kteří udělají takovou chybu není možné ověřit a je lepší je odfiltrovat co nejdříve. Stáhněte si soubor [[https://github.com/CESNET/ansible-freeradius/blob/master/files/eduroam-realm-checks|eduroam-realm-checks]] do ''/etc/freeradius/policy.d/'' a potom v ''/etc/freeradius/sites-enabled/default'': |
<file> | <file> | ||
Řádek 307: | Řádek 307: | ||
</file> | </file> | ||
- | V této konfiguraci se historicky může vyskytovat sdílené tajemství ''secret = mysecret''. Veškeré nové instalace používají ''secret = radsec''. Správné tajemství pro váš server naleznete v [[https://caas.cesnet.cz/caas|CAAS]]. V případě, že provádíte rekonfiguraci starší instalace RADIUS serveru se sdíleným tajemstvím ''secret = mysecret'', požádejte o změnu sdíleného tajemství v naší konfiguraci na novější variantu. | + | V této konfiguraci se historicky může vyskytovat sdílené tajemství ''secret = mysecret''. Veškeré nové instalace používají ''secret = radsec''. Správné tajemství pro váš server naleznete v [[https://caas.cesnet.cz/caas|CAAS]] (položka "Inf. RADIUS1 secret"). V případě, že provádíte rekonfiguraci starší instalace RADIUS serveru se sdíleným tajemstvím ''secret = mysecret'', požádejte o změnu sdíleného tajemství v naší konfiguraci na novější variantu. |
Definice certifikátů pro klienta národního RADIUS serveru, kterého přiřaďte k RadSec tunelu (podruhé použití zmíněných klíčů a ca_file) a upravte parametry tak aby nadřazený RADIUS nemohl být označen jako nefunkční: | Definice certifikátů pro klienta národního RADIUS serveru, kterého přiřaďte k RadSec tunelu (podruhé použití zmíněných klíčů a ca_file) a upravte parametry tak aby nadřazený RADIUS nemohl být označen jako nefunkční: | ||
Řádek 341: | Řádek 341: | ||
Správným řešením je nasazení patchnuté verze ({{:cs:spravce:pripojovani:radius:read-multiple-packet-from-radsec.patch.zip|}}). | Správným řešením je nasazení patchnuté verze ({{:cs:spravce:pripojovani:radius:read-multiple-packet-from-radsec.patch.zip|}}). | ||
- | Malé instituce mohou vystačit se snížením [[https://github.com/CESNET/ansible-freeradius/blob/master/templates/tls.j2#L49|lifetime]] z nekonečna na 600s v souboru ''tls.conf''. | + | Malé instituce mohou vystačit se snížením [[https://github.com/CESNET/ansible-freeradius/blob/master/templates/tls.j2#L49|lifetime]] z nekonečna na 600s v souboru ''sites-enabled/tls.conf''. |
**Debian Stretch**: Vyplněný [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. | **Debian Stretch**: Vyplněný [[https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=880913|bugreport #880913]], čeká na vydání verze 3.0.16. | ||
Řádek 347: | Řádek 347: | ||
**Debian Jessie**: CESNETem provozovaný [[https://aaiwiki.cesnet.cz/deb/jessie/|repositář]] obsahuje opravenu verzi. | **Debian Jessie**: CESNETem provozovaný [[https://aaiwiki.cesnet.cz/deb/jessie/|repositář]] obsahuje opravenu verzi. | ||
- | **RHEL**: Je k dispozici balíček od Petra Vaníčka: 2e4897aabc0cce34f8ad5bda53f974149c08bc3d1ea6c9c8b05c9e59143a0878 [[http://pva.utia.cas.cz/freeradius-3.0.13tlspatch.tar.gz|freeradius-3.0.13tlspatch.tar.gz]] | + | **RHEL**: Vyplněný [[https://bugzilla.redhat.com/show_bug.cgi?id=1630684|bug 1630684]]. Je k dispozici balíček od Petra Vaníčka: 2e4897aabc0cce34f8ad5bda53f974149c08bc3d1ea6c9c8b05c9e59143a0878 [[http://pva.utia.cas.cz/freeradius-3.0.13tlspatch.tar.gz|freeradius-3.0.13tlspatch.tar.gz]] |
Diskuze v listu [[https://random.cesnet.cz/pipermail/eduroam-admin/2017-November/001382.html|eduroam-admin]]. | Diskuze v listu [[https://random.cesnet.cz/pipermail/eduroam-admin/2017-November/001382.html|eduroam-admin]]. | ||
+ | |||
+ | === Bug: inbound RADIUS/TLS connection stalls === | ||
+ | |||
+ | **Nepoužívejte verzi 3.0.17** má chybu [[https://github.com/FreeRADIUS/freeradius-server/issues/2270|inbound RADIUS/TLS connection stalls]] projevuje se to hláškami v logu: | ||
+ | |||
+ | <code> | ||
+ | (0) Failed writing 0 bytes to SSL BIO: -1 | ||
+ | (0) Application data status 4 | ||
+ | </code> | ||
==== Přiřazení konkrétní VLAN návštěvníkům ==== | ==== Přiřazení konkrétní VLAN návštěvníkům ==== | ||
Řádek 440: | Řádek 449: | ||
==== Normalizace MAC adres ==== | ==== Normalizace MAC adres ==== | ||
- | Formáty adres můžou být různé - pro zjednodušení můžeme využít normalizaci MAC adres na jediný formát, se kterým budeme následně adresy porovnávat. Přidáme definici normalizace do souboru ''/etc/freeradius/sites-enabled/default'' do sekcí authorize a preacct: | + | Formáty adres můžou být různé - pro zjednodušení můžeme využít normalizaci MAC adres na jediný formát, se kterým budeme následně adresy porovnávat. Přidáme definici normalizace (volání fce ''rewrite_calling_station_id'') do souboru ''/etc/freeradius/sites-enabled/default'' do sekcí authorize a preacct: |
<file> | <file> | ||
Řádek 485: | Řádek 494: | ||
</file> | </file> | ||
- | A začněte ho používat v ''/etc/freeradius/sites-available/default'' | + | A začněte ho používat v ''/etc/freeradius/sites-available/default'', pokud budete chtít odfiltrovat monitoring tak volejte ''reply_log'' a ''f_ticks'' podmíněně, viz následující sekce. |
<file> | <file> | ||
Řádek 560: | Řádek 569: | ||
Vždy uveďte znak ''1'' před vaším realmem, více informací viz [[https://tools.ietf.org/html/rfc5580#page-12|RFC5580]]. Uvádějte váš realm, ermon simuluje další z AP ve vaší WiFi síti. | Vždy uveďte znak ''1'' před vaším realmem, více informací viz [[https://tools.ietf.org/html/rfc5580#page-12|RFC5580]]. Uvádějte váš realm, ermon simuluje další z AP ve vaší WiFi síti. | ||
- | Správce instituce získá ''sdilene_heslo'' po přihlášení do [[https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin]] vyhledáním svého RADIUS serveru. | + | Správce instituce získá ''sdilene_heslo'' po přihlášení do [[https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin]] vyhledáním svého RADIUS serveru (položka "Mon. RADIUS1 secret"). |
V souboru ''/etc/freeradius/users'' vytvořte lokální testovací účet. U tohoto účtu nastavte atributy tak, aby síťový prvek (bezdrátový bod, přepínač) nasměroval klienta do VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení: | V souboru ''/etc/freeradius/users'' vytvořte lokální testovací účet. U tohoto účtu nastavte atributy tak, aby síťový prvek (bezdrátový bod, přepínač) nasměroval klienta do VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení: | ||
Řádek 650: | Řádek 659: | ||
ok = return | ok = return | ||
} | } | ||
- | </file> | ||
- | |||
- | Formáty adres můžou být různé - pro zjednodušení můžeme využít normalizaci MAC adres na jediný formát, se kterým budeme následně adresy porovnávat. Přidáme definici normalizace do souboru ''/etc/freeradius/sites-enabled/default'' do sekcí authorize a preacct: | ||
- | |||
- | <file> | ||
- | authorize { | ||
- | filter_eduroam_realms | ||
- | filter_username | ||
- | rewrite_calling_station_id | ||
- | ... | ||
- | } | ||
- | |||
- | ... | ||
- | |||
- | preacct { | ||
- | preprocess | ||
- | rewrite_calling_station_id | ||
- | ... | ||
- | } | ||
</file> | </file> | ||