cs:spravce:pripojovani:radius:freeradius3_template

Toto je starší verze dokumentu!


Freeradius 3 s lokalním ověřovaním

Připravili jsme pro Vás image pro VMWare (verze min. 4.0, velikost zhruba 1GiB) s předkonfigurovaným FreeRADIUS serverem verze 3.

Konfigurace radiusu je přednastavena na následující scénář:

  1. ověř lokální uživatele proti souboru users
  2. všechny ostatní uživatele pošli národnímu radiusu přes radsec spojení
  3. přijímej ověřovací požadavky z národního radiusu

Přístupové údaje v template: root s heslem „wheezy_Guga“. Heslo si změňte příkazem passwd. Instalace je provedena na stabilní verzi Debianu s kódovým označením Wheezy.

Obraz ke stažení

Co je potřeba provést

  1. Kontaktujte správce národního radiusu, dohodněte si zejména jméno svého realmu (př. example.cz) a jméno radius serveru (př. radius.example.cz) podle úvodu k připojení.
  2. Nastavte si vlastní pevnou veřejnou IP adresu, úprava souboru /etc/network/interfaces.
  3. Změna hostname, úprava souboru /etc/hostname
  4. Nastavení svého realmu, v souboru /etc/freeradius/proxy.conf změňte jméno realmu radtest.ujep.cz na vlastní, který máte domluven s národním správcem eduroam.
  5. Serverový certifikát:
    • je potřebný pro samotný radius, jím se prokazuje klientům
    • je potřeba pro RadSec spojení s národním radiusem (zde je vyžadován certifikát od CESNET CA3 nebo TCS Server certifikát, detaily najdete na pki.cesnet.cz)
    • klíč uložte do souboru /etc/freeradius/certs/radius.key.
    • certifikát uložte do souboru /etc/freeradius/certs/radius.crt
    • spusťte c_rehash /etc/freeradius/certs/
    • restartujte radius: /etc/init.d/freeradius restart

Vytvoření radius účtu

<xterm> cd /etc/freeradius ./radius_passwd /etc/init.d/freeradius restart </xterm>

Skript vytváří hesla v cleartexu. Freeradius umí i NTLM hashe:

# smbencrypt kakao
LM Hash                         NT Hash
--------------------------------        --------------------------------
3658E2D04E81CC72AAD3B435B51404EE        30600A1973AA628A1F4C2F828C1CFF0C

Do users je třeba přidat uživatele s tímto heslem takto: <xterm> uziv NT-Password := 0x30600A1973AA628A1F4C2F828C1CFF0C </xterm>

Definice AP klientů

Radius server důvěřuje pouze klientům uvedených v souboru /etc/freeradius/clients.conf. Definice sdíleného hesla pro AP: <xterm> client 192.168.10.0/24 {

secret = <stejne_heslo_nastavim_na_ap>
shortname = aps

} </xterm>

Pro jednoduchost definujte jedno sdílené heslo pro celou síť s wi-fi AP. Lze také pro každé AP (per IP adresa) mít jiné sdílené heslo.

Monitoring z ermon.cesnet.cz

Správce instituce získá sdílené heslo po přihlášení do CAAS:hradmin a vyhledáním svého RADIUS serveru.

Do souboru /etc/freeradius/clients.conf zapište heslo pro monitoring:

<xterm> client 195.113.233.246 {

      secret = <sdilene_heslo>
      shortname = ermon

} </xterm>

Když je vše v pořádku

Radius ověřuje požadavky na udp portu 1812 a na tcp portu 2083 přijímá požadavky z národního radiusu: <xterm> # netstat -ltupn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 4039/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 11685/master tcp 0 0 0.0.0.0:2083 0.0.0.0:* LISTEN 12137/freeradius tcp6 0 0 :::22 :::* LISTEN 4039/sshd udp 0 0 0.0.0.0:1812 0.0.0.0:* 12137/freeradius udp 0 0 0.0.0.0:1813 0.0.0.0:* 12137/freeradius udp 0 0 0.0.0.0:1814 0.0.0.0:* 12137/freeradius udp 0 0 127.0.0.1:4000 0.0.0.0:* 12137/freeradius udp 0 0 127.0.0.1:18120 0.0.0.0:* 12137/freeradius </xterm>

V navázaných spojení jsou dvě RadSec spojení z/na národní radius: <xterm> # netstat -t Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 radtest.ujep.cz:40569 radius1.eduroam.cz:2083 ESTABLISHED tcp 0 0 radtest.ujep.cz:2083 radius1.eduroam.c:48895 ESTABLISHED </xterm>

Přicházejí požadavky a radius vrací „Login OK“ <xterm> # tail -f /var/log/freeradius/radius.log (69) Thu Dec 5 21:35:38 2013 : Auth: Login OK: [test@vsb.cz] (from client ermon port 0 cli 70-6F-6C-69-73-68) </xterm>

Kontrola syntaxe konfiguračních souborů

<xterm> /etc/init.d/freeradius configtest </xterm>

Debugování Freeradiusu

Nejdříve si ověřte, že freeradius neběží, a pak spusťte: <xterm> freeradius -fxx -l stdout </xterm>

Pozn. /etc/init.d/freeradius debug s aktivovaným radsecem nefunguje.

Úprava lokálního firewallu (iptables)

Upravit soubor /root/init_iptables
Spustit soubor /root/init_iptables
Pokud výpis neobsahuje chyby, uložit pravidla natrvalo příkazem: /etc/init.d/iptables save active

Úprava konfigurace odesílání pošty

<xterm> dpkg-reconfigure postfix </xterm>

Poslední úprava:: 2013/12/18 15:33