Difference between revisions of "RADIUS"
(→Noter) |
(→Exipration eksempel) |
||
| Line 50: | Line 50: | ||
#Limited accounts [http://www.mail-archive.com/freeradius-users%40lists.freeradius.org/msg18865.html 1] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html 2] | #Limited accounts [http://www.mail-archive.com/freeradius-users%40lists.freeradius.org/msg18865.html 1] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html 2] | ||
| − | === | + | ===Expiration eksempel=== |
<code> | <code> | ||
+----+-------------+-----------------------+----+----------------------+ | +----+-------------+-----------------------+----+----------------------+ | ||
Revision as of 18:36, 26 June 2006
Contents
Generic Radius
- http://www.wi-fiplanet.com/tutorials/article.php/3114511
- http://www.frontios.com/freeradius.html
- http://www.ietf.org/rfc/rfc2866.txt
- http://www.untruth.org/~josh/security/radius/radius-auth.html
- http://www.freeradius.org/rfc/attributes.html
Diverse
FreeRADIUS
Freeradius artikler
- 802.1X Port-Based Authentication HOWTO
- HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant
- FreeRadius and MySQL
- FreeRADIUS and Linux Secure Your WLAN
- Freeradius, EAP-TLS & Windows XP
- Paranoid Penguin - Securing WLANs with WPA and FreeRADIUS, Part 1 2 3
- FreeRADIUS + 802.1x/WPA + OpenLDAP HOWTO
- HOWTO Chillispot with FreeRadius and MySQL
Howto
- Læs et par artikler om WPA-enterprise og sikre dig at du har styr på de forskellige EAP metoder -
- Det vil også være en fordel hvis du læser RFC 2865 som specificerer RADIUS protokollen.
- Installér FreeRADIUS, note: std. debian pakker indeholder ikke EAP/TLS, EAP/TTLS, EAP/PEAP. En alm. recompile fra debian source kan også give problemer. Brug evt. mine sarge pakker
- Konfigurér freeradius f.eks. som i denne HOWTO (howto'en bygger på EAP/PEAP: ms-chapv2)
- husk at tilføje en statisk bruger i
/etc/freeradius/users
- husk at tilføje en statisk bruger i
- start freeradius fra en shell med
freeradius -xpå den måde bliver al debug info skrevet til std-out og man kan følge med i authentikation processen. (Brug evt -X istedet, hvis du vil have ekstra debug info) - afprøv konfig'en med f.eks.
radtest.radclientellerradeapclientkan også bruges.Usage: radtest user passwd radius-server nas-port-number clientsecret
- konfigurér dit access point til at koble op i mod radius-serveren
- konfigurér en trådløs klient til wpa/radius med den korrekte godkendelsesprotokol(EAP) og med samme krypteringsalgoritme som du satte på accesspointet (TKIP vs AES)
- afprøv klient-opsætningen med den statiske bruger
- Nu er vi klar til at konfigurere sql backenden - følg freeradius & mysql howto'en fra sektionen "Setting up the RADIUS database in MySQL" og frem.
- Sørg for at brugeren bliver tilknyttet "Auth-Type" ":=" "EAP" (enten i
radcheckellerradgroupchecktabellen)
Noter
- hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i
/usr/share/freeradius-dialupadmin/sql/*.sql - Sådan sættes user expiration 2
- Password-Retry
- En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
- Limited accounts 1 2
Expiration eksempel
+----+-------------+-----------------------+----+----------------------+
| id | UserName | Attribute | op | Value |
+----+-------------+-----------------------+----+----------------------+
| 35 | guestuser35 | Password | := | test |
| 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No |
| 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 |
+----+-------------+-----------------------+----+----------------------+
