Radius

Mdulo Servicios de Red
Remote Access Dial In User Service
Remote Access Dial-In User Service ndice de contenidos:

(1) Introduccin (2) Especificaciones y operacin (3) RADIUS / LDAP (4) Aplicaciones (5) Desarrollos:

Consideraciones iniciales Instalacin y configuracin de FreeRADIUS Autenticacin Web. PAM_RADIUS_AUTH Acceso Wi-Fi 802.1x
(6) Referencias
Mdulo Servicios de red / Servicio de autorizacin de usuarios para acceso remoto RADIUS -2-
(1) Introduccin
RADIUS provee arquitectura AAA (Authentication, Authorization, Accounting) para redes de acceso dialup (NAS), VPN, acceso inalmbrico (p.e. EDUROAM) o switches Ethernet (p.e. CISCO 2950) entre otros. Desarrollado originalmente por Livingston Enterprises para sus Servidores de Acceso a la Red (NAS). El protocolo RADIUS actualmente est definido en los RFC 2865 (autentificacin y autorizacin) y 2866 (manejo de sesiones). Propsito es diferenciar, identificar y contabilidad (permite cobros por uso billing) de usuarios.
(2) Especificaciones y operacin (1/8)

Caractersticas de la arquitectura AAA:
Soporta gran nmero de usuarios y consultas simultneas; y cientos de dispositivos. Provee mecanismo de respaldo, ante un fallo de comunicacin con el servidor AAA primario. Dispone un mecanismo de autenticacin cliente/servidor. Requiere autenticacin, proteccin integral y confidencialidad de la Capa de Transporte. Poltica de no modificacin del paquete original. Permite el transporte de certificados. Permite servicio de seguridad subyacente como IPsec. Es extensible a otros usos (RADIUS RFC 2869).

Caractersticas del protocolo RADIUS (1/3):

Administracin centralizada de usuarios. Modelo cliente/servidor:
NAS opera como cliente RADIUS, pasado la peticin de conexin del usuario al servidor designado. Servidor RADIUS responsable de autenticar al usuario y enviar respuesta con informacin de configuracin. Como cliente proxy de otros servidores RADIUS (ISP). Mensajes enviados por UDP (User Datagram Protocol):

Puerto UDP 1812 usado para mensajes de autenticacin. Puerto UDP 1813 para mensajes de cuentas. Originalmente se usaron UDP 1645/1646.

Seguridad:
Transacciones cliente/servidor RADIUS autenticadas por un secreto compartido:
Para comprobar que los mensajes RADIUS son enviados por un dispositivo compatible y la integridad de los mismos. Tambin se utiliza para cifrar algunos de los atributos RADIUS, como UserPassword y Tunnel-Password. Mismo secreto compartido, que distingue maysculas y minsculas, en ambos dispositivos RADIUS; y diferente en cada par cliente/servidor. Nunca se transfiere a travs de la red. Debe ser aleatorio, con una secuencia aleatoria de mnimo 22 caracteres (utilizar cualquier carcter alfanumrico o especial estndar) y mximo 128 caracteres de longitud.
Mdulo Servicios de red / Servicio de autorizacin de usuarios para acceso remoto RADIUS
-6-

Mtodos de autenticacin flexibles:
PAP (Password Authentication Protocol): Protocolo simple de

autenticacin de un usuario contra un servidor de acceso remoto (sub-protocolo usado por la autenticacin del protocolo PPP). Contraseas en ASCII sin cifrar (inseguro), se usa como ltimo recurso.
CHAP (Challenge Handshake Authentication Protocol):

Protocolo de autenticacin por desafo mutuo, usado por servidores accesibles va PPP. Verifica peridicamente la identidad del cliente remoto usando un intercambio de informacin de tres etapas. Verificacin basada en un secreto compartido, requiere que el cliente mantenga el secreto disponible en texto plano.
EAP (Extensible Authentication Protocol): Estructura de

soporte para modernos mecanismos de autenticacin (EAP-MD5, EAP-TLS, EAP-TTL, LEAP, PEAP, etc.)

Formato de paquete:
Code (1 byte): Contiene el tipo de comando/respuesta RADIUS Identifier (1 byte): Usado para relacionar comandos y respuestas Length (2 bytes): Longitud del paquete Authenticator (4 bytes): Usado para autenticar la respuesta del servidor RADIUS, y usado por el algoritmo de encubrimiento de contrasea. Attributes: N arbitrario de atributos, los nicos obligatorios: User-Name (usuario) y User-Password (contrasea).

Operacin:
Access-Request (solicitud de acceso)

Servidor de acceso a la red Usuario
Access-Challenge (desafo de acceso) Access-Request (solicitud de acceso)

Mtodos de autenticacin PAP, CHAP, EAP Servidor RADIUS BD Usuarios
Informacin autenticacin
(NAS) Cliente RADIUS
Access-Accept (acceso aceptado) Access-Reject (acceso denegado)
-9-

Mtodo de autenticacin EAP Protegido (PEAP):
http://tools.ietf.org/html/rfc3579
Mdulo Servicios de red / Servicio de autorizacin de usuarios para acceso remoto RADIUS - 10 -

Mtodo de autenticacin EAP Protegido (PEAP):
- 11 -
(3) RADIUS / LDAP
- 12 -
(4) Aplicaciones
Acceso lneas conmutadas:
Muy til para los ISP de acceso telefnico.
Redes Wireless:
Estndar 802.1X (http://tools.ietf.org/html/rfc3580) Radius permite controlar la seguridad del acceso a datos. Tambin permite informes para realizar la tarificacin en consecuencia.
VoIP:

VPN (Virtual Private Network) Autenticacin de servicios:
Acceso web, servicio de correo electrnico, acceso remoto...

(5) Desarrollos
Consideraciones iniciales (1/4):
Desarrollos orientados a conocer las posibilidades del servicio RADIUS:

servicio de autenticacin Web. servicio de autenticacin para 802.1x. Caractersticas preconfiguradas en mquina virtual VMware: DEBIAN 4.0 ETCH (desde netinstall) APACHE 2 + SSL + PHP 5 (desde repositorios) MYSQL + PHPMYADMIN (desde repositorios)
Para ello, configuracin de un servidor RADIUS:
(5) Desarrollos*
- 15 -
(5) Desarrollos*
- 16 -
(5) Desarrollos
Caractersticas configurables:
Servidor FREERADIUS SERVER 2.0.1 freeradius-server-2.0.1.tar.gz Mdulo PAM_RADIUS_AUTH
pam_radius-1.3.17.tar.gz Mtodo de autenticacin EAP Protegido (PEAP):
Esquema de autenticacin NAS servidor RADIUS. Compatibilidad con clientes 802.1x, en MS-Windows como Linux, usando MS-CHAPv2.
- 17 -
(5) Desarrollos
Instalacin de FreeRADIUS desde archivos fuentes (1/2):
Paquetes bsicos y dependencias antes de compilacin: Paquetes bsicos: bash#apt-get install build-essential dpkg-dev dpatch debhelper fakeroot Dependencias: bash#apt-get install openssl libltdl3-dev libpam0g-dev libmysqlclient15-dev libgdbm-dev libldap2-dev libsasl2dev libiodbc2-dev libkrb5-dev libperl-dev libpcap-dev python-dev snmp libsnmp9-dev libpq-dev libssl-dev
1. Descargar los fuentes desde http://www.freeradius.org: bash#wget ftp://ftp.freeradius.org/pub/freeradius/ freeradius-server-2.0.1.tar.gz 2. Descomprimir el archivo descargado: bash#tar zxvf freeradius-server-2.0.1.tar.gz
(5) Desarrollos
Instalacin de FreeRADIUS desde archivos fuentes (2/2):
3. Paquetizamos la instalacin de FreeRADIUS: bash#cd freeradius-server-2.0.1 bash#fakeroot dpkg-buildpackage -b -uc 4. Instalamos los paquetes que necesitamos procedentes del paso anterior: bash#dpkg -i freeradius_2.0.1-0_i386.deb bash#dpkg -i freeradius-mysql_2.0.1-0_i386.deb 5. Al instalarse los paquetes, el servicio freeradius se activa; para poder configurarlos, deben pararse con el siguiente comando: bash#/etc/init.d/freeradius stop 6. Para comprobar en cada momento el estado de funcionamiento del servicio RADIUS, abrir un nuevo terminal y ejecutar: bash#tail -f /var/log/freeradius/radius.log
- 19 -
(5) Desarrollo
Configuracin:
Archivos de configuracin localizados en /etc/freeradius:
radiusd.conf: Archivo de configuracin principal, contiene numerosos parmetros de configuracin comunes y referencias a otros archivos de configuracin. users: Contiene informacin de autenticacin y configuracin para cada usuario que puede acceder, en caso de no usar otro mtodo. clients.conf: Contiene la definicin de los clientes RADIUS (NAS) que pueden conectarse al servidor. sql.conf: Guarda la configuracin para el mdulo SQL, en el caso de usar una BD como backend para los usuarios de RADIUS. eap.conf: Contiene informacin relativa a la configuracin del tipo EAP (Extensible Authentication Protocol) elegido para que funcione como protocolo de autenticacin. EAP se utilizar como PEAP (Protected EAP). sites-available/default: Como soporte para servidores virtuales, cada servidor virtual deber disponer de un archivo que contenga la informacin de configuracin especfica del mismo dentro de este directorio.
(5) Desarrollo
Configuracin /etc/freeradius/radius.conf (1/3):
Seccin Log. Contiene parmetros de configuracin para el registro de sucesos durante la ejecucin de RADIUS: log { ...
#Registra las peticiones de autenticacin
auth = yes
#Registra las passwords de las peticiones de autenticacin, #tanto aceptadas como rechazadas. Slo recomendable a efectos de #depuracin
auth_badpass = yes auth_goodpass = yes }
Seccin Proxy. Contiene configuracin para un escenario con PROXY proxy_requests = no

#La lnea siguiente debe ser comentada si 'no' en la anterior
#$INCLUDE proxy.conf
(5) Desarrollo
Seccin Modules. Contiene los parmetros generales de configuracin de los mdulos que determinan los tipos de mtodos de autenticacin activos. modules { ... pap { auto_header = yes } mschap {#Soporta autenticacin MS-CHAP y MS-CHAPv2
#Microsoft Point-to-Point Encryption es un protocolo de #encriptacin de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesin de 40, 56 y 128-bit, que cambian #por paquete.
use_mppe = yes require_encryption = yes require_strong = no

#Windows enva un nombre de usuario como DOMINIO\usuario; pero, en la #respuesta al desafo, slo enva el usuario. Esto provoca un error.
with_ntdomain_hack = yes }
(5) Desarrollo
preprocess { ... #Mismo motivo del anterior, pero durante el preprocesamiento de #peticiones entrantes with_ntdomain_hack = yes ... }
Pool de direcciones IP, slo en accesos a redes tipo dialup (PPP o GPRS). NO para redes Wifi, Wimax o Ethernet, donde se exigir disponer de un servicio DHCP. #ippool main_pool {#Gestin de pools de direcciones #Determina el rango de direcciones asignadas si es el caso # # # ... #}
range-start = 192.168.1.1 range-stop = 192.168.1.254 netmask = 255.255.255.0
#Mscara de subred asignada al rango anterior
(5) Desarrollo
Configuracin /etc/freeradius/sites-available/default (1/3):
Seccin Authorization: Primera parte con el pre-procesamiento de los mdulos de autorizacin.

authorize { preprocess chap mschap suffix #Se activa protocolo EAP. FILES para que se lea archivo 'users' eap { ok = return } #unix #Puede comentarse porque no se usa autorizacin del sistema #files #Puede comentarse porque no se usa el archivo 'users' #SQL indica la bsqueda del usuario en una BD segn sql.conf sql ... #Si ningn otro mdulo toma responsabilidad de autenticacin, se usar PAP pap }
(5) Desarrollo
Seccin Authentication: Recoge cules son los mdulos disponibles para la autenticacin.
authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } unix # Habilita la autenticacin EAP eap }
- 25 -
(5) Desarrollo
accounting { #Parmetros relacionados con el registro de actividades de contabilidad detail unix radutmp # Indica que los registros sern almacenados en una BD segn sql.conf sql } session { #Se usa para el manejo de sesiones simultneas radutmp # Usa una BD en el manejo de sesiones segn sql.conf sql } post-auth { # Usa BD para tareas de post-autenticacin sql }
(5) Desarrollo
Configuracin /etc/freeradius/sql.conf (1/1):
sql { #Selecciona una BD: mysql, mssql, oracle, postgresql database = "mysql" #Se indica a FreeRADIUS el driver a usar driver = "rlm_sql_${database}" #Informacin de conexin: #Usamos localhost porque servidor BD y FreeRADIUS son el mismo server = "localhost" login = "radius" password = "radpass" #Nombre de la BD a utilizar excepto para Oracle radius_db = "radius" ... #Habilita la utilizacin de atributos de grupo read_groups = yes $INCLUDE sql/${database}/dialup.conf #(contiene las consultas) }
(5) Desarrollo
Configuracin /etc/freeradius/eap.conf (1/2):
eap { #Se le dice que use PEAP default_eap_type = peap timer_expire ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } }
= 60
ignore_unknown_eap_types = no
(5) Desarrollo
Configuracin. Generar nuevos certificados TLS (2/2):
Certificados para canal seguro (TLS), creados por defecto durante la instalacin (por script bootstrap) y alojados en /etc/freeradius/certs/. De inicio se utilizan datos de ejemplos, tanto para entidad certificadora (CA), como servidor RADIUS, desde los archivos ca.cnf y server.cnf. Para crearlos con informacin propia:
(1) Borrar o renombrar todos los archivos con prefijo server.* y ca.*, excepto los dos indicados anteriormente. (2) Editar ca.cnf y cambiar en la seccin [certificate_authority] los datos que consideremos oportunos. (3) Editar server.cnf y cambiar en la seccin [server] los datos que consideremos oportunos. OJO! Es recomendable colocar los mismos datos en ambos archivos. (4) Ejecutar el script ./bootstrap
Se creen o no de nuevo, una vez terminado de configurar eap.conf, deben crearse enlaces simblicos a los certificados para que EAP pueda localizarlos:
bash#cd /etc/freeradius/certs bash#c_rehash
(5) Desarrollo
Configuracin /etc/freeradius/users y clients.conf (1/1):
Configuracin de /etc/freeradius/users:
En nuestro desarrollo no se utiliza. Empleamos BD en MySQL para almacenar la informacin de usuario, y por tanto, deben estar todas las lneas comentadas.
Configuracin de /etc/freeradius/clients.conf:
Configuraremos dos clientes (NAS):

client localhost {#Cliente para pruebas con radtest ipaddr = 127.0.0.1 ipv6addr = : : #Esta clave es el secreto compartido que usaremos localmente secret = testing123 nastype = other } client 192.168.1.2 {#Punto de acceso inalmbrico (AP) #Esta clave es el secreto compartido que usar el AP para comunicarse secret }
= testing456
shortname = ap
(5) Desarrollo
Configuracin Base de Datos de usuario en MySQL (1/7):
Para mejor comprensin de la BD y facilitar su manejo, disponemos de una interfaz web en la direccin http://direccin_ip_mi_servidor/phpmyadmin Abrir una conexin con MySQL desde shell y crear BD de usuarios:
bash#mysql -uroot -p040000 mysql>create database radius; mysql>grant all privileges on radius.* to radius@localhost identified by 'radpass'; mysql>use radius; mysql>quit;
Importar tablas desde una plantilla proporcionada por la instalacin:

bash#cd /etc/freeradius/sql/mysql bash#mysql -uroot -p040000 radius < schema.sql
- 31 -
(5) Desarrollo
Tablas importadas a la BD desde schema.sql:
- 32 -
(5) Desarrollo
1. Existe 'user' en radcheck? 2. Datos de validacin se corresponden? 3. read_groups = yes en sql.conf? 4. Existe un entrada para 'user' en radreply? 5. Directiva Fall-Through en radreply? 6. Existe 'grupo' en radgroupcheck? 7. No existe correspondencia o directiva Fall-Through en radgroupreply? o no es el ltimo grupo?
user/pass
No
1
No
radcheck
2
radusergroup by priority radgroupcheck S
Respuesta
read_groups = yes No No
Ms informacin: http://wiki.freeradius.org/Rlm_sql
4
S
radreply
No
6
S radgroupreply S
No
No
- 33 -
(5) Desarrollo
ATRIBUTOS de FreeRADIUS:
Formato de tabla: Muestra qu atributos aparecen o pueden aparecer en cada tipo de mensaje Radius:

0 indica que el atributo no puede aparecer en el mensaje. 0+ indica que el atributo puede no aparecer o aparecer una o ms veces en el mensaje. 0-1 indica que el atributo debe aparecer una sola vez o no aparecer en el mensaje. 1 indica que el atributo debe aparecer una y slo una vez en el mensaje. 1+ indica que el atributo al menos debe aparecer una vez en el mensaje.
Ms informacin: http://www.freeradius.org/rfc/attributes.html
(5) Desarrollo
Lista de operadores ms frecuentes de FreeRADIUS:
Atributo = valor

No permitido como operador para atributos de validacin (check items). En un atributo de respuesta (reply items), "aade el atributo a la lista, slo si no hay ningn otro valor para el mismo atributo. Sustituye cualquier directiva de configuracin del mismo nombre (p.e. en users). Si ningn atributo con este nombre aparece en la peticin, entonces es aadido. En la respuesta tiene un significado idntico. Siempre aade el atributo a la lista de directivas de configuracin. Como operador en un atributo de respuesta, tiene un significado idntico. Como atributo de validacin, la asignacin es vlida si el atributo est presente en la peticin y tiene un valor dado. No est permitido como operador para un atributo de respuesta. Como atributo de validacin, la asignacin es vlida si el atributo est presente en la peticin y NO tiene un valor previamente dado. No permitido como operador para un atributo de respuesta.
- 35 -
Atributo := valor

Atributo += valor

Atributo == valor

Atributo != valor

(5) Desarrollo
Tabla RADCHECK:
Tabla RADUSERGROUP:
- 36 -
(5) Desarrollo
Tabla RADGROUPCHECK:
Tabla RADGROUPREPLY:
- 37 -
(5) Desarrollo
Test de funcionamiento (1/4):
- 38 -
(5) Desarrollo
- 39 -
(5) Desarrollo
- 40 -
(5) Desarrollo
- 41 -
(5) Desarrollo
Autenticacin Web. PAM_RADIUS_AUTH (1/4):
Escenario de autenticacin (localhost):
APACHE2
/etc/apache2/httpd.conf sites-available/default
PAM
/etc/pam.d/apache2 /etc/pam_radius_auth.conf
FreeRADIUS
mod_auth_pam
liapache2-mod-auth-pam
pam_radius_auth
libpam-radius-auth
- 42 -
(5) Desarrollo
Mdulo PAM de autorizacin para APACHE2 (mod_auth_pam): bash#apt-get install libapache2-mod-auth
Configurar autenticacin para el sitio web por defecto, aadir el siguiente cdigo al archivo /etc/apache2/httpd.conf: <Directory /var/www/apache2-default/> #Habilita la autenticacin PAM en este directorio AuthPAM_Enabled on #'on' habilita Apache a preguntar a otro mdulo de autenticacin AuthPAM_FallThrough off AuthType Basic AuthName "Area segura. Acceso restringido" #AuthUserFile /dev/null #Siempre 'off' cuando usemos PAM para la autenticacin AuthBasicAuthoritative off #Se indica que todos los usuarios vlidos pueden acceder al recurso #protegido. Require valid-user </Directory>
Reiniciamos el servidor Apache2: bash#/etc/init.d/apache2 restart

(5) Desarrollo
Mdulo de autenticacin RADIUS para PAM (pam_radius_auth): Instalamos el paquete que contiene el mdulo: bash#apt-get install libpam-radius-auth Al instalar el mdulo PAM de autorizacin para Apache 2, se crea el archivo /etc/pam.d/apache2 que especifica el tipo de autenticacin requerida:
#Indica que para autorizacin y contabilidad, emplear RADIUS. #Tipos de 'service': required, requisite, sufficient, optional,include, substack #service type auth account password session control sufficient sufficient module-path module-arguments pam_radius_auth.so pam_radius_auth.so debug debug
# #
#Comentadas para no utilizar valores por defecto indicados en /etc/pam.conf #@include common-auth #@include common-account
A continuacin, pasamos a configurar el archivo /etc/pam_radius_auth.conf:

#Timeout controla el n de seg. que mdulo espera antes de decidir que el #servidor ha fallado en su respuesta # server[:port] shared_secret 127.0.0.1 testing123 timeout (s) 3
- 44 -
(5) Desarrollo
tail -f /var/log/syslog:
- 45 -
(5) Desarrollo
Acceso Wi-Fi con autenticacin 802.1x (1/3):
- 46 -
(5) Desarrollo
Configuracin 802.1x del AP
- 47 -
(5) Desarrollo
Configuracin 802.1x para usuario Linux
Primero debe instalarse un cliente, utilizaremos wpa_supplicant.

bash#apt-get install wpasupplicant
Modificar el archivo wpa_supplicant.conf en el directorio /etc o /etc/wpa_supplicant:

ctrl_interface=/var/run/wpa_supplicant eapol_version=1 ap_scan=1 fast_reauth=1 network= #Debe coincidir con el del AP ssid="linksys-g" key_mgmt=IEEE8021X eap=PEAP phase2="auth=MSCHAPV2" identity="test" password="test" Mdulo Servicios de red / Servicio de autorizacin de usuarios para acceso remoto RADIUS - 48 -
(6) Referencias
RADIUS By Jonathan Hassell. O'Reilly 2002. ISBN: 0-596-00322-6

http://www.freeradius.org http://wiki.freeradius.org http://www.freeradius.org/mod_auth_radius/ http://www.freeradius.org/pam_radius_auth/ http://pam.sourceforge.net/mod_auth_pam/ http://httpd.apache.org/docs/2.2/ http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/Linux-PAM_SAG.html http://www.kernel.org/pub/linux/libs/pam/FAQ http://ing.ctit.utwente.nl/WU5/D5.1/Technology/radius/ http://books.google.com/books?id=yTSoYCiXYAAC&pg=RA1-PA222&lpg=RA1PA222&dq=protocolo+radius&source=web&ots=F1iXTBauo&sig=ug16VP6MqGMX4AIVSla_93qLXhI#PRA1-PA222,M1 http://publib.boulder.ibm.com/infocenter/wsphelp/index.jsp?topic=/com.ibm.wesm.doc/w esmpla-setupradiusproxy.htm

Radius

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Radius

Hochgeladen von

Copyright:

Verfügbare Formate

Mdulo Servicios de Red

Remote Access Dial In User Service

Remote Access Dial-In User Service ndice de contenidos:

(2) Especificaciones y operacin (1/8)

(2) Especificaciones y operacin (2/8)

Administracin centralizada de usuarios. Modelo cliente/servidor:

(2) Especificaciones y operacin (3/8)

Transacciones cliente/servidor RADIUS autenticadas por un secreto compartido:

(2) Especificaciones y operacin (4/8)

Mtodos de autenticacin flexibles:

PAP (Password Authentication Protocol): Protocolo simple de

CHAP (Challenge Handshake Authentication Protocol):

EAP (Extensible Authentication Protocol): Estructura de

(2) Especificaciones y operacin (5/8)

(2) Especificaciones y operacin (6/8)

Access-Request (solicitud de acceso)

Access-Challenge (desafo de acceso) Access-Request (solicitud de acceso)

(NAS) Cliente RADIUS

Access-Accept (acceso aceptado) Access-Reject (acceso denegado)

(2) Especificaciones y operacin (7/8)

(2) Especificaciones y operacin (8/8)

(3) RADIUS / LDAP

Acceso lneas conmutadas:

Muy til para los ISP de acceso telefnico.

VPN (Virtual Private Network) Autenticacin de servicios:

Acceso web, servicio de correo electrnico, acceso remoto...

Desarrollos orientados a conocer las posibilidades del servicio RADIUS:

Para ello, configuracin de un servidor RADIUS:

Servidor FREERADIUS SERVER 2.0.1 freeradius-server-2.0.1.tar.gz Mdulo PAM_RADIUS_AUTH

pam_radius-1.3.17.tar.gz Mtodo de autenticacin EAP Protegido (PEAP):

Archivos de configuracin localizados en /etc/freeradius:

auth_badpass = yes auth_goodpass = yes }

Seccin Proxy. Contiene configuracin para un escenario con PROXY proxy_requests = no

use_mppe = yes require_encryption = yes require_strong = no

range-start = 192.168.1.1 range-stop = 192.168.1.254 netmask = 255.255.255.0

#Mscara de subred asignada al rango anterior

Seccin Authorization: Primera parte con el pre-procesamiento de los mdulos de autorizacin.

Configuraremos dos clientes (NAS):

Importar tablas desde una plantilla proporcionada por la instalacin:

Tablas importadas a la BD desde schema.sql:

Lista de operadores ms frecuentes de FreeRADIUS:

Escenario de autenticacin (localhost):

Mdulo PAM de autorizacin para APACHE2 (mod_auth_pam): bash#apt-get install libapache2-mod-auth

Reiniciamos el servidor Apache2: bash#/etc/init.d/apache2 restart

A continuacin, pasamos a configurar el archivo /etc/pam_radius_auth.conf:

Primero debe instalarse un cliente, utilizaremos wpa_supplicant.

Modificar el archivo wpa_supplicant.conf en el directorio /etc o /etc/wpa_supplicant:

RADIUS By Jonathan Hassell. O'Reilly 2002. ISBN: 0-596-00322-6

Das könnte Ihnen auch gefallen