Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:pripojovani:radius:freeradius3_template [2018/07/28 19:02]
jan.tomasek@cesnet.cz
+++ — (aktuální)
@@ Řádek 1: / Řádek 1: @@
-<box red>
-Tento text je dálen neudržovaný a vmware image je zastaralý.</box>
-====== Freeradius 3 s lokalním ověřovaním ======
-Připravili jsme pro Vás [[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|image]] pro VMWare (verze min. 4.0, velikost zhruba 1GiB) s předkonfigurovaným FreeRADIUS serverem verze 3.
-Konfigurace radiusu je přednastavena na následující scénář:
-  - ověř lokální uživatele proti souboru users
-  - všechny ostatní uživatele pošli národnímu radiusu přes radsec spojení
-  - přijímej ověřovací požadavky z národního radiusu
-Přístupové údaje v template: root s heslem "wheezy_Guga". Heslo si změňte příkazem ''passwd''.
-Instalace je provedena na stabilní verzi Debianu s kódovým označením Wheezy.
-[[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|Obraz ke stažení]]
-===== Co je potřeba provést =====
-  - Kontaktujte správce národního radiusu, dohodněte si zejména jméno svého realmu (př. example.cz) a jméno radius serveru (př. radius.example.cz) podle [[cs:spravce:pripojovani:uvod|úvodu k připojení]].
-  - Nastavte si vlastní pevnou veřejnou IP adresu, úprava souboru ''/etc/network/interfaces''.
-  - Změna hostname, úprava souboru ''/etc/hostname''
-  - Nastavení svého realmu, v souboru ''/etc/freeradius/proxy.conf'' změňte jméno realmu ''radtest.ujep.cz'' na vlastní, který máte domluven s národním správcem eduroam.
-  - Serverový certifikát:
-    * je potřebný pro samotný radius, jím se prokazuje klientům
-    * je potřeba pro RadSec spojení s národním radiusem (zde je vyžadován certifikát od CESNET CA3 nebo TCS Server certifikát, detaily najdete na {{http://pki.cesnet.cz/|pki.cesnet.cz}})
-    * klíč uložte do souboru ''/etc/freeradius/certs/radius.key''.
-    * certifikát uložte do souboru ''/etc/freeradius/certs/radius.crt''
-    * spusťte ''c_rehash /etc/freeradius/certs/''
-    * restartujte radius: ''/etc/init.d/freeradius restart''
-==== Vytvoření radius účtu ====
-<xterm>
-cd /etc/freeradius
-./radius_passwd
-/etc/init.d/freeradius restart
-</xterm>
-Skript vytváří hesla v cleartexu. Freeradius umí i NTLM hashe:
-<code>
-# smbencrypt kakao
-LM Hash                         NT Hash
---------------------------------        --------------------------------
-E2D04E81CC72AAD3B435B51404EE        30600A1973AA628A1F4C2F828C1CFF0C
-</code>
-Do users je třeba přidat uživatele s tímto heslem takto:
-<xterm>
-uziv    NT-Password := 0x30600A1973AA628A1F4C2F828C1CFF0C
-</xterm>
-==== Definice AP klientů ====
-Radius server důvěřuje pouze klientům uvedených v souboru ''/etc/freeradius/clients.conf''.
-Definice sdíleného hesla pro AP:
-<xterm>
-client 192.168.10.0/24 {
-  secret = <stejne_heslo_nastavim_na_ap>
-  shortname = aps
-}
-</xterm>
-Pro jednoduchost definujte jedno sdílené heslo pro celou síť s wi-fi AP. Lze také pro každé AP (per IP adresa) mít jiné sdílené heslo.
-==== Monitoring z ermon.cesnet.cz ====
-Správce instituce získá sdílené heslo po přihlášení do {{https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin}} a vyhledáním svého RADIUS serveru.
-Do souboru ''/etc/freeradius/clients.conf'' zapište heslo pro monitoring:
-<xterm>
-client 195.113.233.246 {
-        secret = <sdilene_heslo>
-        shortname = ermon
-}
-</xterm>
-==== Když je vše v pořádku ====
-Radius ověřuje požadavky na udp portu 1812 a na tcp portu 2083 přijímá požadavky z národního radiusu:
-<xterm>
-# netstat -ltupn
-Active Internet connections (only servers)
-Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
-tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      4039/sshd
-tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      11685/master
-tcp        0      0 0.0.0.0:2083            0.0.0.0:*               LISTEN      12137/freeradius
-tcp6       0      0 :::22                   :::*                    LISTEN      4039/sshd
-udp        0      0 0.0.0.0:1812            0.0.0.0:*                           12137/freeradius
-udp        0      0 0.0.0.0:1813            0.0.0.0:*                           12137/freeradius
-udp        0      0 0.0.0.0:1814            0.0.0.0:*                           12137/freeradius
-udp        0      0 127.0.0.1:4000          0.0.0.0:*                           12137/freeradius
-udp        0      0 127.0.0.1:18120         0.0.0.0:*                           12137/freeradius
-</xterm>
-V navázaných spojení jsou dvě RadSec spojení z/na národní radius:
-<xterm>
-# netstat -t
-Active Internet connections (w/o servers)
-Proto Recv-Q Send-Q Local Address           Foreign Address         State
-tcp        0      0 radtest.ujep.cz:40569   radius1.eduroam.cz:2083 ESTABLISHED
-tcp        0      0 radtest.ujep.cz:2083    radius1.eduroam.c:48895 ESTABLISHED
-</xterm>
-Přicházejí požadavky a radius vrací "Login OK"
-<xterm>
-# tail -f /var/log/freeradius/radius.log
-(69) Thu Dec  5 21:35:38 2013 : Auth: Login OK: [test@vsb.cz] (from client ermon port 0 cli 70-6F-6C-69-73-68)
-</xterm>
-==== Kontrola syntaxe konfiguračních souborů ====
-<xterm>
-/etc/init.d/freeradius configtest
-</xterm>
-==== Debugování Freeradiusu ====
-Nejdříve si ověřte, že freeradius neběží, a pak spusťte:
-<xterm>
-freeradius -fxx -l stdout
-</xterm>
-Pozn. ''/etc/init.d/freeradius debug'' s aktivovaným radsecem nefunguje.
-==== Úprava lokálního firewallu (iptables) ====
-Upravit soubor ''/root/init_iptables''\\
-Spustit soubor ''/root/init_iptables''\\
-Pokud výpis neobsahuje chyby, uložit pravidla natrvalo příkazem: ''/etc/init.d/iptables save active''
-==== Úprava konfigurace odesílání pošty ====
-<xterm>
-dpkg-reconfigure postfix
-</xterm>

Rozdíly

Rychlé odkazy

Kontakt

Service desk