no way to compare when less than two revisions
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | |||
— | cs:spravce:pripojovani:radius:freeradius [2009/12/02 09:28] – upraveno mimo DokuWiki 127.0.0.1 | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | <box 50% red> | ||
+ | Pro nové instalace používejte výhradně [[cs: | ||
+ | |||
+ | </ | ||
+ | |||
+ | <box 50% orange> | ||
+ | |||
+ | Pro korektní podporu uživatelů s MS Windows Vista je nutné provozovat freeRadius o verzi minimálně 1.1.4. | ||
+ | |||
+ | </ | ||
+ | |||
+ | <box 50% orange> | ||
+ | Tento dokument je nekompletní, | ||
+ | [[: | ||
+ | |||
+ | Prozatím je k dispozici {{: | ||
+ | </ | ||
+ | |||
+ | ====== Konfigurace FreeRadiusu pro připojení k eduroamu ====== | ||
+ | |||
+ | K pochopení obsahu tohoto dukumentu byste měli vědět, [[spravce: | ||
+ | mít základní představu o [[spravce: | ||
+ | |||
+ | ===== Získání software ===== | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | Je dost pravděpodobné, | ||
+ | |||
+ | |||
+ | ===== Konfigurace ===== | ||
+ | |||
+ | Konfiguraci FreeRadiusu komplikuje architektura tohoto produktu (např. authorizace se řeší před autentizací), | ||
+ | |||
+ | Smažte zbytečné soubory: **naslist**, | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== proxy.conf ===== | ||
+ | |||
+ | Teto soubor definuje, jak se FreeRadius bude chovat k | ||
+ | jednotlivým realmům. Nejprve jsou nastaveny parametry | ||
+ | samotného proxy serveru. | ||
+ | |||
+ | < | ||
+ | proxy server { | ||
+ | synchronous = no | ||
+ | retry_delay = 5 | ||
+ | retry_count = 2 | ||
+ | dead_time | ||
+ | default_fallback = yes | ||
+ | post_proxy_authorize = no | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Někteří uživatelé se přihlašují jen pomocí uživatelského jména bez realmu. To jim sice " | ||
+ | |||
+ | < | ||
+ | realm NULL { | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Následuje definice lokálních (domácích realmů). Nahraďte '' | ||
+ | |||
+ | < | ||
+ | realm **example.com** { | ||
+ | type = radius | ||
+ | authhost = LOCAL | ||
+ | accthost = LOCAL | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Definice '' | ||
+ | |||
+ | < | ||
+ | realm DEFAULT { | ||
+ | type = radius | ||
+ | authhost | ||
+ | accthost | ||
+ | secret | ||
+ | nostrip | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | ==== clients.conf ===== | ||
+ | V tomto souboru definujete klienty, kteří se mohou k Vašemu RADIUSu připojit. | ||
+ | |||
+ | < | ||
+ | client **ap1.example.com** { | ||
+ | secret | ||
+ | shortname | ||
+ | } | ||
+ | . | ||
+ | . | ||
+ | client **apN.example.com** { | ||
+ | secret | ||
+ | shortname | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | V okamžiku, kdy Vaši uživatelé využijí roamingu, stanou se klienty NREN RADIUS serverů. | ||
+ | |||
+ | < | ||
+ | client radius1.eduroam.cz { | ||
+ | secret = **xxx** | ||
+ | shortname = radius1edu | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Dalším speciálním klientem je monitoring. | ||
+ | |||
+ | < | ||
+ | client ermon.cesnet.cz { | ||
+ | secret = **xxx** | ||
+ | shortname = ermon | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | ====users==== | ||
+ | Tento soubor definuje staticky konfigurované uživatele. Dále např. specifikuje jak zacházet s jednotlivými realmy. Obecně mění hodnoty jednotlivých atributů na základě vstupních hodnot jiných atributů, nebo svých vlastních. | ||
+ | Nejprve odmítneme uživatelé bez realmu. | ||
+ | < | ||
+ | DEFAULT Realm == NULL, Auth-Type := Reject | ||
+ | </ | ||
+ | |||
+ | Tohle by mělo zabezpečit, | ||
+ | < | ||
+ | DEFAULT | ||
+ | | ||
+ | | ||
+ | </ | ||
+ | |||
+ | Nyní definujeme staticky konfigurované uživatele. Můžou to být testovací uživatelé, | ||
+ | < | ||
+ | user1 | ||
+ | user2 | ||
+ | </ | ||
+ | |||
+ | Testovací účet je směrován do neexistující VLAN, aby se dal ověřit bez možnosti dostat se do sítě. Pokud by měl být konfigurován staticky, vyměníme | ||
+ | '' | ||
+ | aby se otestovaly všechny články AA řetězce. | ||
+ | < | ||
+ | eduroam-test | ||
+ | Tunnel-Type = VLAN, | ||
+ | Tunnel-Private-Group-ID = 666, | ||
+ | Tunnel-Medium-Type = IEEE-802, | ||
+ | Fall-Through = Yes | ||
+ | </ | ||
+ | |||
+ | Uživatelé, | ||
+ | < | ||
+ | DEFAULT Auth-Type = Local | ||
+ | Fall-Through = 1 | ||
+ | </ | ||
+ | |||
+ | ====attrs==== | ||
+ | Tento soubor definuje zpracování paketů vrátivších přes proxy z cizích organizací. Do paketu posílaného zpět přístupovému bodu projdou pouze atributy vyjmenované v tomto souboru, popřípadě atributy s určitou hodnotou. Některé cizí organizace přidávají do Access-Accept paketu svého uživatele, který se chce připojit do naší sítě, atribut Tunnel-Private-Group-Id s hodnotou např. 200. Ten určuje, do které VLAN | ||
+ | se má uživatel dostat v domácí síti. My ale máme pouze VLAN 100, proto povolujeme jen tuto hodnotu a dále 666 pro testovací uživatele. Atribut s jinou hodnotou se " | ||
+ | < | ||
+ | DEFAULT | ||
+ | User-Name =* ANY, | ||
+ | Called-Station-Id =* ANY, | ||
+ | Calling-Station-Id =* ANY, | ||
+ | Message-Authenticator =* ANY, | ||
+ | EAP-Message =* ANY, | ||
+ | NAS-Port-Type =* ANY, | ||
+ | NAS-Port =* ANY, | ||
+ | Service-Type =* ANY, | ||
+ | NAS-IP-Address =* ANY, | ||
+ | NAS-Identifier =* ANY, | ||
+ | Proxy-State =* ANY, | ||
+ | Framed-MTU >= 576, | ||
+ | Framed-Filter-ID =* ANY, | ||
+ | Reply-Message =* ANY, | ||
+ | Proxy-State =* ANY, | ||
+ | Session-Timeout <= 28800, | ||
+ | Idle-Timeout <= 600, | ||
+ | Port-Limit <= 2, | ||
+ | Tunnel-Type == VLAN, | ||
+ | Tunnel-Private-Group-Id == 100, | ||
+ | Tunnel-Private-Group-Id == 666, | ||
+ | Tunnel-Medium-Type == IEEE-802, | ||
+ | MS-MPPE-Send-Key =* ANY, | ||
+ | MS-MPPE-Recv-Key =* ANY, | ||
+ | cisco-avpair =* ANY, | ||
+ | WISPr-Location-ID =* ANY, | ||
+ | Cisco-NAS-Port =* ANY, | ||
+ | State =* ANY | ||
+ | </ | ||
+ | |||
+ | ====radiusd.conf==== | ||
+ | Jedná se o hlavní konfigurační soubor. | ||
+ | |||
+ | Konfigurace jednotlivých modulů | ||
+ | < | ||
+ | modules { | ||
+ | # PAP module to authenticate users based on their stored password | ||
+ | pap { | ||
+ | encryption_scheme = crypt | ||
+ | } | ||
+ | |||
+ | # Extensible Authentication Protocol | ||
+ | $INCLUDE ${confdir}/ | ||
+ | |||
+ | # Microsoft CHAP authentication | ||
+ | mschap { | ||
+ | authtype = MS-CHAP | ||
+ | } | ||
+ | # Lightweight Directory Access Protocol (LDAP) | ||
+ | ldap { | ||
+ | server = " | ||
+ | port = 636 | ||
+ | identity = " | ||
+ | password = ***************** | ||
+ | basedn = " | ||
+ | filter = " | ||
+ | start_tls = no | ||
+ | dictionary_mapping = ${raddbdir}/ | ||
+ | |||
+ | ldap_connections_number = 5 | ||
+ | password_attribute = mobilitypassword | ||
+ | timeout = 8 | ||
+ | timelimit = 3 | ||
+ | net_timeout = 1 | ||
+ | } | ||
+ | |||
+ | realm suffix { | ||
+ | format = suffix | ||
+ | delimiter = " | ||
+ | ignore_default = no | ||
+ | ignore_null = no | ||
+ | } | ||
+ | |||
+ | preprocess { | ||
+ | huntgroups = ${confdir}/ | ||
+ | hints = ${confdir}/ | ||
+ | with_ascend_hack = no | ||
+ | ascend_channels_per_line = 23 | ||
+ | with_ntdomain_hack = yes | ||
+ | with_specialix_jetstream_hack = no | ||
+ | with_cisco_vsa_hack = no | ||
+ | } | ||
+ | |||
+ | files { | ||
+ | usersfile = ${confdir}/ | ||
+ | acctusersfile = ${confdir}/ | ||
+ | compat = no | ||
+ | } | ||
+ | |||
+ | | ||
+ | detailfile = ${radacctdir}/ | ||
+ | detailperm = 0600 | ||
+ | } | ||
+ | |||
+ | | ||
+ | acct_unique { | ||
+ | key = " | ||
+ | |||
+ | |||
+ | # $INCLUDE | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Autorizace | ||
+ | < | ||
+ | authorize { | ||
+ | preprocess | ||
+ | mschap | ||
+ | suffix | ||
+ | eap | ||
+ | files | ||
+ | ldap | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Autentizace | ||
+ | < | ||
+ | authenticate { | ||
+ | Auth-Type PAP { | ||
+ | pap | ||
+ | } | ||
+ | Auth-Type MS-CHAP { | ||
+ | mschap | ||
+ | } | ||
+ | Auth-Type LDAP { | ||
+ | ldap | ||
+ | } | ||
+ | eap | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | preacct { | ||
+ | preprocess | ||
+ | acct_unique | ||
+ | files | ||
+ | } | ||
+ | |||
+ | </ | ||
+ | |||
+ | < | ||
+ | accounting { | ||
+ | detail | ||
+ | # sql | ||
+ | } | ||
+ | |||
+ | </ | ||
+ | < | ||
+ | post-proxy { | ||
+ | attr_filter | ||
+ | eap | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | ====eap.conf==== | ||
+ | V souboru jsou uvedeny povolené metody EAP. Modul '' | ||
+ | moduly '' | ||
+ | < | ||
+ | eap { | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | md5 { | ||
+ | } | ||
+ | leap { | ||
+ | } | ||
+ | tls { | ||
+ | private_key_file = / | ||
+ | certificate_file = / | ||
+ | CA_file = / | ||
+ | dh_file = ${raddbdir}/ | ||
+ | random_file = ${raddbdir}/ | ||
+ | fragment_size = 1024 | ||
+ | include_length = yes | ||
+ | } | ||
+ | peap { | ||
+ | default_eap_type = mschapv2 | ||
+ | use_tunneled_reply = yes | ||
+ | } | ||
+ | ttls { | ||
+ | default_eap_type = md5 | ||
+ | use_tunneled_reply = yes | ||
+ | |||
+ | } | ||
+ | | ||
+ | } | ||
+ | } | ||
+ | |||
+ | </ |