Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:radius:freeradius [2009/12/02 10:28] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:pripojovani:radius:freeradius [2024/01/15 08:02] Jan Čáslavský odstraněno |
||
|---|---|---|---|
| Řádek 46: | Řádek 46: | ||
| samotného proxy serveru. | samotného proxy serveru. | ||
| - | <xterm> | + | <code> |
| proxy server { | proxy server { | ||
| synchronous = no | synchronous = no | ||
| Řádek 55: | Řádek 55: | ||
| post_proxy_authorize = no | post_proxy_authorize = no | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Někteří uživatelé se přihlašují jen pomocí uživatelského jména bez realmu. To jim sice "doma" může fungovat, ale pokud by chtěli využít roamingu, budou muset měnit konfiguraci svého počítače, na což pravděpodobně nebudou připraveni. Proto důrazně doporučuji uživatelům znemožnit přihlašování bez realmu. K odchycení Access-Requestů bez realmu slouží definice ''realm NULL { ... }''. Dotazy bez realmu se potom zakáží v souboru ''users''. | Někteří uživatelé se přihlašují jen pomocí uživatelského jména bez realmu. To jim sice "doma" může fungovat, ale pokud by chtěli využít roamingu, budou muset měnit konfiguraci svého počítače, na což pravděpodobně nebudou připraveni. Proto důrazně doporučuji uživatelům znemožnit přihlašování bez realmu. K odchycení Access-Requestů bez realmu slouží definice ''realm NULL { ... }''. Dotazy bez realmu se potom zakáží v souboru ''users''. | ||
| - | <xterm> | + | <code> |
| realm NULL { | realm NULL { | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Následuje definice lokálních (domácích realmů). Nahraďte ''example.com'' Vaším realmem. V případě, že Váš server má obsluhovat několik realmů, tak tuto sekci několikrát zopakujte. | Následuje definice lokálních (domácích realmů). Nahraďte ''example.com'' Vaším realmem. V případě, že Váš server má obsluhovat několik realmů, tak tuto sekci několikrát zopakujte. | ||
| - | <xterm> | + | <code> |
| - | realm **example.com** { | + | realm example.com { |
| type = radius | type = radius | ||
| authhost = LOCAL | authhost = LOCAL | ||
| accthost = LOCAL | accthost = LOCAL | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Definice ''realm DEFAULT { ... }'' zajištují předání Access-Request paketů návštěvníků na národní RADIUS servery. Nahraďte **xxx** u parametru ''secret'' hodnotami, které Vám byly přiděleny. | Definice ''realm DEFAULT { ... }'' zajištují předání Access-Request paketů návštěvníků na národní RADIUS servery. Nahraďte **xxx** u parametru ''secret'' hodnotami, které Vám byly přiděleny. | ||
| - | <xterm> | + | <code> |
| realm DEFAULT { | realm DEFAULT { | ||
| type = radius | type = radius | ||
| authhost = radius1.eduroam.cz:1812 | authhost = radius1.eduroam.cz:1812 | ||
| accthost = radius1.eduroam.cz:1813 | accthost = radius1.eduroam.cz:1813 | ||
| - | secret = **xxx** | + | secret = xxx |
| nostrip | nostrip | ||
| } | } | ||
| - | </xterm> | + | </code> |
| ==== clients.conf ===== | ==== clients.conf ===== | ||
| V tomto souboru definujete klienty, kteří se mohou k Vašemu RADIUSu připojit. | V tomto souboru definujete klienty, kteří se mohou k Vašemu RADIUSu připojit. | ||
| - | <xterm> | + | <code> |
| - | client **ap1.example.com** { | + | client ap1.example.com { |
| - | secret = **secret4ap1** | + | secret = secret4ap1 |
| - | shortname = **ap1** | + | shortname = ap1 |
| } | } | ||
| . | . | ||
| . | . | ||
| - | client **apN.example.com** { | + | client apN.example.com { |
| - | secret = **secret4apN** | + | secret = secret4apN |
| - | shortname = **apN** | + | shortname = apN |
| } | } | ||
| - | </xterm> | + | </code> |
| V okamžiku, kdy Vaši uživatelé využijí roamingu, stanou se klienty NREN RADIUS serverů. | V okamžiku, kdy Vaši uživatelé využijí roamingu, stanou se klienty NREN RADIUS serverů. | ||
| - | <xterm> | + | <code> |
| client radius1.eduroam.cz { | client radius1.eduroam.cz { | ||
| - | secret = **xxx** | + | secret = xxx |
| shortname = radius1edu | shortname = radius1edu | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Dalším speciálním klientem je monitoring. | Dalším speciálním klientem je monitoring. | ||
| - | <xterm> | + | <code> |
| client ermon.cesnet.cz { | client ermon.cesnet.cz { | ||
| - | secret = **xxx** | + | secret = xxx |
| shortname = ermon | shortname = ermon | ||
| } | } | ||
| - | </xterm> | + | </code> |
| ====users==== | ====users==== | ||
| Tento soubor definuje staticky konfigurované uživatele. Dále např. specifikuje jak zacházet s jednotlivými realmy. Obecně mění hodnoty jednotlivých atributů na základě vstupních hodnot jiných atributů, nebo svých vlastních. | Tento soubor definuje staticky konfigurované uživatele. Dále např. specifikuje jak zacházet s jednotlivými realmy. Obecně mění hodnoty jednotlivých atributů na základě vstupních hodnot jiných atributů, nebo svých vlastních. | ||
| Nejprve odmítneme uživatelé bez realmu. | Nejprve odmítneme uživatelé bez realmu. | ||
| - | <xterm> | + | <code> |
| DEFAULT Realm == NULL, Auth-Type := Reject | DEFAULT Realm == NULL, Auth-Type := Reject | ||
| - | </xterm> | + | </code> |
| Tohle by mělo zabezpečit, aby se v účtování objevilo skutečné uživatelské jméno, a ne třeba anonymous@myabc.com | Tohle by mělo zabezpečit, aby se v účtování objevilo skutečné uživatelské jméno, a ne třeba anonymous@myabc.com | ||
| - | <xterm> | + | <code> |
| DEFAULT Freeradius-Proxied-To == 127.0.0.1 | DEFAULT Freeradius-Proxied-To == 127.0.0.1 | ||
| User-Name = `%{User-Name}`, | User-Name = `%{User-Name}`, | ||
| Fall-Through = Yes | Fall-Through = Yes | ||
| - | </xterm> | + | </code> |
| Nyní definujeme staticky konfigurované uživatele. Můžou to být testovací uživatelé, nebo třeba speciální konta pro jednorázové akce, např. konference. | Nyní definujeme staticky konfigurované uživatele. Můžou to být testovací uživatelé, nebo třeba speciální konta pro jednorázové akce, např. konference. | ||
| - | <xterm> | + | <code> |
| user1 User-Password == "password1" | user1 User-Password == "password1" | ||
| user2 User-Password == "password2" | user2 User-Password == "password2" | ||
| - | </xterm> | + | </code> |
| Testovací účet je směrován do neexistující VLAN, aby se dal ověřit bez možnosti dostat se do sítě. Pokud by měl být konfigurován staticky, vyměníme | Testovací účet je směrován do neexistující VLAN, aby se dal ověřit bez možnosti dostat se do sítě. Pokud by měl být konfigurován staticky, vyměníme | ||
| ''Auth-Type = Local'' za ''User-Password == "password"''. Obecně by ale měl testovací učet používat stejný typ autentizace jako reálné účty uživatelů, | ''Auth-Type = Local'' za ''User-Password == "password"''. Obecně by ale měl testovací učet používat stejný typ autentizace jako reálné účty uživatelů, | ||
| aby se otestovaly všechny články AA řetězce. | aby se otestovaly všechny články AA řetězce. | ||
| - | <xterm> | + | <code> |
| eduroam-test Auth-Type = Local | eduroam-test Auth-Type = Local | ||
| Tunnel-Type = VLAN, | Tunnel-Type = VLAN, | ||
| Řádek 149: | Řádek 149: | ||
| Tunnel-Medium-Type = IEEE-802, | Tunnel-Medium-Type = IEEE-802, | ||
| Fall-Through = Yes | Fall-Through = Yes | ||
| - | </xterm> | + | </code> |
| Uživatelé, kteří prošli předchozímy filtry, pokračují do dalšího zpracování | Uživatelé, kteří prošli předchozímy filtry, pokračují do dalšího zpracování | ||
| - | <xterm> | + | <code> |
| DEFAULT Auth-Type = Local | DEFAULT Auth-Type = Local | ||
| Fall-Through = 1 | Fall-Through = 1 | ||
| - | </xterm> | + | </code> |
| ====attrs==== | ====attrs==== | ||
| Tento soubor definuje zpracování paketů vrátivších přes proxy z cizích organizací. Do paketu posílaného zpět přístupovému bodu projdou pouze atributy vyjmenované v tomto souboru, popřípadě atributy s určitou hodnotou. Některé cizí organizace přidávají do Access-Accept paketu svého uživatele, který se chce připojit do naší sítě, atribut Tunnel-Private-Group-Id s hodnotou např. 200. Ten určuje, do které VLAN | Tento soubor definuje zpracování paketů vrátivších přes proxy z cizích organizací. Do paketu posílaného zpět přístupovému bodu projdou pouze atributy vyjmenované v tomto souboru, popřípadě atributy s určitou hodnotou. Některé cizí organizace přidávají do Access-Accept paketu svého uživatele, který se chce připojit do naší sítě, atribut Tunnel-Private-Group-Id s hodnotou např. 200. Ten určuje, do které VLAN | ||
| se má uživatel dostat v domácí síti. My ale máme pouze VLAN 100, proto povolujeme jen tuto hodnotu a dále 666 pro testovací uživatele. Atribut s jinou hodnotou se "zahodí" a AP potom uživateli přiřadí implicitní VLAN. | se má uživatel dostat v domácí síti. My ale máme pouze VLAN 100, proto povolujeme jen tuto hodnotu a dále 666 pro testovací uživatele. Atribut s jinou hodnotou se "zahodí" a AP potom uživateli přiřadí implicitní VLAN. | ||
| - | <xterm> | + | <code> |
| DEFAULT | DEFAULT | ||
| User-Name =* ANY, | User-Name =* ANY, | ||
| Řádek 190: | Řádek 190: | ||
| Cisco-NAS-Port =* ANY, | Cisco-NAS-Port =* ANY, | ||
| State =* ANY | State =* ANY | ||
| - | </xterm> | + | </code> |
| ====radiusd.conf==== | ====radiusd.conf==== | ||
| Řádek 196: | Řádek 196: | ||
| Konfigurace jednotlivých modulů | Konfigurace jednotlivých modulů | ||
| - | <xterm> | + | <code> |
| modules { | modules { | ||
| # PAP module to authenticate users based on their stored password | # PAP module to authenticate users based on their stored password | ||
| Řádek 263: | Řádek 263: | ||
| # $INCLUDE ${confdir}/sql.conf | # $INCLUDE ${confdir}/sql.conf | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Autorizace | Autorizace | ||
| - | <xterm> | + | <code> |
| authorize { | authorize { | ||
| preprocess | preprocess | ||
| Řádek 275: | Řádek 275: | ||
| ldap | ldap | ||
| } | } | ||
| - | </xterm> | + | </code> |
| Autentizace | Autentizace | ||
| - | <xterm> | + | <code> |
| authenticate { | authenticate { | ||
| Auth-Type PAP { | Auth-Type PAP { | ||
| Řádek 291: | Řádek 291: | ||
| eap | eap | ||
| } | } | ||
| - | </xterm> | + | </code> |
| - | <xterm> | + | <code> |
| preacct { | preacct { | ||
| preprocess | preprocess | ||
| Řádek 300: | Řádek 300: | ||
| } | } | ||
| - | </xterm> | + | </code> |
| - | <xterm> | + | <code> |
| accounting { | accounting { | ||
| detail | detail | ||
| Řádek 308: | Řádek 308: | ||
| } | } | ||
| - | </xterm> | + | </code> |
| - | <xterm> | + | <code> |
| post-proxy { | post-proxy { | ||
| attr_filter | attr_filter | ||
| eap | eap | ||
| } | } | ||
| - | </xterm> | + | </code> |
| ====eap.conf==== | ====eap.conf==== | ||
| V souboru jsou uvedeny povolené metody EAP. Modul ''tls'' musí být zkonfigurován, i když TLS metodu nepoužíváme. Tento modul totiž využívají | V souboru jsou uvedeny povolené metody EAP. Modul ''tls'' musí být zkonfigurován, i když TLS metodu nepoužíváme. Tento modul totiž využívají | ||
| moduly ''peap'' a ''ttls''. | moduly ''peap'' a ''ttls''. | ||
| - | <xterm> | + | <code> |
| eap { | eap { | ||
| default_eap_type = peap | default_eap_type = peap | ||
| Řádek 351: | Řádek 351: | ||
| } | } | ||
| - | </xterm> | + | </code> |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz