Připravili jsme pro Vás image pro VMWare (verze min. 4.0, velikost zhruba 1GiB) s předkonfigurovaným FreeRADIUS serverem verze 3.
Konfigurace radiusu je přednastavena na následující scénář:
Přístupové údaje v template: root s heslem „wheezy_Guga“. Heslo si změňte příkazem passwd
.
Instalace je provedena na stabilní verzi Debianu s kódovým označením Wheezy.
/etc/network/interfaces
./etc/hostname
/etc/freeradius/proxy.conf
změňte jméno realmu radtest.ujep.cz
na vlastní, který máte domluven s národním správcem eduroam./etc/freeradius/certs/radius.key
./etc/freeradius/certs/radius.crt
c_rehash /etc/freeradius/certs/
/etc/init.d/freeradius restart
cd /etc/freeradius ./radius_passwd /etc/init.d/freeradius restart
Skript vytváří hesla v cleartexu. Freeradius umí i NTLM hashe:
# smbencrypt kakao LM Hash NT Hash -------------------------------- -------------------------------- 3658E2D04E81CC72AAD3B435B51404EE 30600A1973AA628A1F4C2F828C1CFF0C
Do users je třeba přidat uživatele s tímto heslem takto:
uziv NT-Password := 0x30600A1973AA628A1F4C2F828C1CFF0C
Radius server důvěřuje pouze klientům uvedených v souboru /etc/freeradius/clients.conf
.
Definice sdíleného hesla pro AP:
client 192.168.10.0/24 { secret = <stejne_heslo_nastavim_na_ap> shortname = aps }
Pro jednoduchost definujte jedno sdílené heslo pro celou síť s wi-fi AP. Lze také pro každé AP (per IP adresa) mít jiné sdílené heslo.
Správce instituce získá sdílené heslo po přihlášení do CAAS:hradmin a vyhledáním svého RADIUS serveru.
Do souboru /etc/freeradius/clients.conf
zapište heslo pro monitoring:
client 195.113.233.246 { secret = <sdilene_heslo> shortname = ermon }
Radius ověřuje požadavky na udp portu 1812 a na tcp portu 2083 přijímá požadavky z národního radiusu:
# netstat -ltupn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4039/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 11685/master tcp 0 0 0.0.0.0:2083 0.0.0.0:* LISTEN 12137/freeradius tcp6 0 0 :::22 :::* LISTEN 4039/sshd udp 0 0 0.0.0.0:1812 0.0.0.0:* 12137/freeradius udp 0 0 0.0.0.0:1813 0.0.0.0:* 12137/freeradius udp 0 0 0.0.0.0:1814 0.0.0.0:* 12137/freeradius udp 0 0 127.0.0.1:4000 0.0.0.0:* 12137/freeradius udp 0 0 127.0.0.1:18120 0.0.0.0:* 12137/freeradius
V navázaných spojení jsou dvě RadSec spojení z/na národní radius:
# netstat -t Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 radtest.ujep.cz:40569 radius1.eduroam.cz:2083 ESTABLISHED tcp 0 0 radtest.ujep.cz:2083 radius1.eduroam.c:48895 ESTABLISHED
Přicházejí požadavky a radius vrací „Login OK“
# tail -f /var/log/freeradius/radius.log (69) Thu Dec 5 21:35:38 2013 : Auth: Login OK: [test@vsb.cz] (from client ermon port 0 cli 70-6F-6C-69-73-68)
/etc/init.d/freeradius configtest
Nejdříve si ověřte, že freeradius neběží, a pak spusťte:
freeradius -fxx -l stdout
Pozn. /etc/init.d/freeradius debug
s aktivovaným radsecem nefunguje.
Upravit soubor /root/init_iptables
Spustit soubor /root/init_iptables
Pokud výpis neobsahuje chyby, uložit pravidla natrvalo příkazem: /etc/init.d/iptables save active
dpkg-reconfigure postfix
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz