Difference between revisions of "RADIUS"

From HoerupWiki
Jump to: navigation, search
(Noter)
(Noter)
Line 46: Line 46:
 
#hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i <code>/usr/share/freeradius-dialupadmin/sql/*.sql</code>
 
#hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i <code>/usr/share/freeradius-dialupadmin/sql/*.sql</code>
 
#Sådan sættes [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg26652.html user expiration] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg23031.html 2]
 
#Sådan sættes [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg26652.html user expiration] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg23031.html 2]
 +
+----+-------------+-----------------------+----+----------------------+
 +
| id | UserName    | Attribute            | op | Value                |
 +
+----+-------------+-----------------------+----+----------------------+
 +
| 35 | guestuser35 | Password              | := | test                |
 +
| 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No                  |
 +
| 37 | guestuser35 | Expiration            | := | 24 May 2006 23:00:00 |
 +
+----+-------------+-----------------------+----+----------------------+
 
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg21257.html Password-Retry]
 
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg21257.html Password-Retry]
 
#En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
 
#En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
 
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html Limited accounts]
 
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html Limited accounts]

Revision as of 18:27, 26 June 2006

Generic Radius

Diverse

FreeRADIUS

Radius attribute list

Freeradius artikler

Howto

  1. Læs et par artikler om WPA-enterprise og sikre dig at du har styr på de forskellige EAP metoder -
    1. Det vil også være en fordel hvis du læser RFC 2865 som specificerer RADIUS protokollen.
  2. Installér FreeRADIUS, note: std. debian pakker indeholder ikke EAP/TLS, EAP/TTLS, EAP/PEAP. En alm. recompile fra debian source kan også give problemer. Brug evt. mine sarge pakker
  3. Konfigurér freeradius f.eks. som i denne HOWTO (howto'en bygger på EAP/PEAP: ms-chapv2)
    1. husk at tilføje en statisk bruger i /etc/freeradius/users
  4. start freeradius fra en shell med freeradius -x på den måde bliver al debug info skrevet til std-out og man kan følge med i authentikation processen. (Brug evt -X istedet, hvis du vil have ekstra debug info)
  5. afprøv konfig'en med f.eks. radtest. radclient eller radeapclient kan også bruges.
    1. Usage: radtest user passwd radius-server nas-port-number clientsecret
  6. konfigurér dit access point til at koble op i mod radius-serveren
  7. konfigurér en trådløs klient til wpa/radius med den korrekte godkendelsesprotokol(EAP) og med samme krypteringsalgoritme som du satte på accesspointet (TKIP vs AES)
  8. afprøv klient-opsætningen med den statiske bruger
  9. Nu er vi klar til at konfigurere sql backenden - følg freeradius & mysql howto'en fra sektionen "Setting up the RADIUS database in MySQL" og frem.
  10. Sørg for at brugeren bliver tilknyttet "Auth-Type" ":=" "EAP" (enten i radcheck eller radgroupcheck tabellen)

Noter

  1. hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i /usr/share/freeradius-dialupadmin/sql/*.sql
  2. Sådan sættes user expiration 2

+----+-------------+-----------------------+----+----------------------+ | id | UserName | Attribute | op | Value | +----+-------------+-----------------------+----+----------------------+ | 35 | guestuser35 | Password | := | test | | 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No | | 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 | +----+-------------+-----------------------+----+----------------------+

  1. Password-Retry
  2. En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
  3. Limited accounts