Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radius:freeradius3_template [2018/07/28 19:02] jan.tomasek@cesnet.cz |
— (aktuální) | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | <box red> | ||
- | Tento text je dálen neudržovaný a vmware image je zastaralý.</box> | ||
- | |||
- | ====== Freeradius 3 s lokalním ověřovaním ====== | ||
- | |||
- | Připravili jsme pro Vás [[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|image]] pro VMWare (verze min. 4.0, velikost zhruba 1GiB) s předkonfigurovaným FreeRADIUS serverem verze 3. | ||
- | |||
- | |||
- | Konfigurace radiusu je přednastavena na následující scénář: | ||
- | - ověř lokální uživatele proti souboru users | ||
- | - všechny ostatní uživatele pošli národnímu radiusu přes radsec spojení | ||
- | - přijímej ověřovací požadavky z národního radiusu | ||
- | |||
- | Přístupové údaje v template: root s heslem "wheezy_Guga". Heslo si změňte příkazem ''passwd''. | ||
- | Instalace je provedena na stabilní verzi Debianu s kódovým označením Wheezy. | ||
- | |||
- | [[https://eduroam.cz/freeradius_image/freeradius3_template_1_0.tgz|Obraz ke stažení]] | ||
- | |||
- | ===== Co je potřeba provést ===== | ||
- | - Kontaktujte správce národního radiusu, dohodněte si zejména jméno svého realmu (př. example.cz) a jméno radius serveru (př. radius.example.cz) podle [[cs:spravce:pripojovani:uvod|úvodu k připojení]]. | ||
- | - Nastavte si vlastní pevnou veřejnou IP adresu, úprava souboru ''/etc/network/interfaces''. | ||
- | - Změna hostname, úprava souboru ''/etc/hostname'' | ||
- | - Nastavení svého realmu, v souboru ''/etc/freeradius/proxy.conf'' změňte jméno realmu ''radtest.ujep.cz'' na vlastní, který máte domluven s národním správcem eduroam. | ||
- | - Serverový certifikát: | ||
- | * je potřebný pro samotný radius, jím se prokazuje klientům | ||
- | * je potřeba pro RadSec spojení s národním radiusem (zde je vyžadován certifikát od CESNET CA3 nebo TCS Server certifikát, detaily najdete na {{http://pki.cesnet.cz/|pki.cesnet.cz}}) | ||
- | * klíč uložte do souboru ''/etc/freeradius/certs/radius.key''. | ||
- | * certifikát uložte do souboru ''/etc/freeradius/certs/radius.crt'' | ||
- | * spusťte ''c_rehash /etc/freeradius/certs/'' | ||
- | * restartujte radius: ''/etc/init.d/freeradius restart'' | ||
- | |||
- | ==== Vytvoření radius účtu ==== | ||
- | <xterm> | ||
- | cd /etc/freeradius | ||
- | ./radius_passwd | ||
- | /etc/init.d/freeradius restart | ||
- | </xterm> | ||
- | |||
- | Skript vytváří hesla v cleartexu. Freeradius umí i NTLM hashe: | ||
- | |||
- | <code> | ||
- | # smbencrypt kakao | ||
- | LM Hash NT Hash | ||
- | -------------------------------- -------------------------------- | ||
- | 3658E2D04E81CC72AAD3B435B51404EE 30600A1973AA628A1F4C2F828C1CFF0C | ||
- | </code> | ||
- | |||
- | Do users je třeba přidat uživatele s tímto heslem takto: | ||
- | <xterm> | ||
- | uziv NT-Password := 0x30600A1973AA628A1F4C2F828C1CFF0C | ||
- | </xterm> | ||
- | |||
- | ==== Definice AP klientů ==== | ||
- | |||
- | Radius server důvěřuje pouze klientům uvedených v souboru ''/etc/freeradius/clients.conf''. | ||
- | Definice sdíleného hesla pro AP: | ||
- | <xterm> | ||
- | client 192.168.10.0/24 { | ||
- | secret = <stejne_heslo_nastavim_na_ap> | ||
- | shortname = aps | ||
- | } | ||
- | </xterm> | ||
- | |||
- | Pro jednoduchost definujte jedno sdílené heslo pro celou síť s wi-fi AP. Lze také pro každé AP (per IP adresa) mít jiné sdílené heslo. | ||
- | |||
- | ==== Monitoring z ermon.cesnet.cz ==== | ||
- | |||
- | Správce instituce získá sdílené heslo po přihlášení do {{https://caas2.cesnet.cz/caas/hradmin|CAAS:hradmin}} a vyhledáním svého RADIUS serveru. | ||
- | |||
- | Do souboru ''/etc/freeradius/clients.conf'' zapište heslo pro monitoring: | ||
- | |||
- | <xterm> | ||
- | client 195.113.233.246 { | ||
- | secret = <sdilene_heslo> | ||
- | shortname = ermon | ||
- | } | ||
- | </xterm> | ||
- | |||
- | ==== Když je vše v pořádku ==== | ||
- | Radius ověřuje požadavky na udp portu 1812 a na tcp portu 2083 přijímá požadavky z národního radiusu: | ||
- | <xterm> | ||
- | # netstat -ltupn | ||
- | Active Internet connections (only servers) | ||
- | Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name | ||
- | tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4039/sshd | ||
- | tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 11685/master | ||
- | tcp 0 0 0.0.0.0:2083 0.0.0.0:* LISTEN 12137/freeradius | ||
- | tcp6 0 0 :::22 :::* LISTEN 4039/sshd | ||
- | udp 0 0 0.0.0.0:1812 0.0.0.0:* 12137/freeradius | ||
- | udp 0 0 0.0.0.0:1813 0.0.0.0:* 12137/freeradius | ||
- | udp 0 0 0.0.0.0:1814 0.0.0.0:* 12137/freeradius | ||
- | udp 0 0 127.0.0.1:4000 0.0.0.0:* 12137/freeradius | ||
- | udp 0 0 127.0.0.1:18120 0.0.0.0:* 12137/freeradius | ||
- | </xterm> | ||
- | |||
- | V navázaných spojení jsou dvě RadSec spojení z/na národní radius: | ||
- | <xterm> | ||
- | # netstat -t | ||
- | Active Internet connections (w/o servers) | ||
- | Proto Recv-Q Send-Q Local Address Foreign Address State | ||
- | tcp 0 0 radtest.ujep.cz:40569 radius1.eduroam.cz:2083 ESTABLISHED | ||
- | tcp 0 0 radtest.ujep.cz:2083 radius1.eduroam.c:48895 ESTABLISHED | ||
- | </xterm> | ||
- | |||
- | Přicházejí požadavky a radius vrací "Login OK" | ||
- | <xterm> | ||
- | # tail -f /var/log/freeradius/radius.log | ||
- | (69) Thu Dec 5 21:35:38 2013 : Auth: Login OK: [test@vsb.cz] (from client ermon port 0 cli 70-6F-6C-69-73-68) | ||
- | </xterm> | ||
- | |||
- | ==== Kontrola syntaxe konfiguračních souborů ==== | ||
- | <xterm> | ||
- | /etc/init.d/freeradius configtest | ||
- | </xterm> | ||
- | |||
- | ==== Debugování Freeradiusu ==== | ||
- | |||
- | Nejdříve si ověřte, že freeradius neběží, a pak spusťte: | ||
- | <xterm> | ||
- | freeradius -fxx -l stdout | ||
- | </xterm> | ||
- | |||
- | Pozn. ''/etc/init.d/freeradius debug'' s aktivovaným radsecem nefunguje. | ||
- | |||
- | ==== Úprava lokálního firewallu (iptables) ==== | ||
- | |||
- | Upravit soubor ''/root/init_iptables''\\ | ||
- | Spustit soubor ''/root/init_iptables''\\ | ||
- | Pokud výpis neobsahuje chyby, uložit pravidla natrvalo příkazem: ''/etc/init.d/iptables save active'' | ||
- | |||
- | ==== Úprava konfigurace odesílání pošty ==== | ||
- | |||
- | <xterm> | ||
- | dpkg-reconfigure postfix | ||
- | </xterm> | ||