Difference between revisions of "RADIUS"
(→Noter) |
(→Noter) |
||
Line 47: | Line 47: | ||
#Sådan sættes [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg26652.html user expiration] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg23031.html 2] | #Sådan sættes [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg26652.html user expiration] [http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg23031.html 2] | ||
<code> | <code> | ||
− | +----+-------------+-----------------------+----+----------------------+ | + | +----+-------------+-----------------------+----+----------------------+ |
− | | id | UserName | Attribute | op | Value | | + | | id | UserName | Attribute | op | Value | |
− | +----+-------------+-----------------------+----+----------------------+ | + | +----+-------------+-----------------------+----+----------------------+ |
− | | 35 | guestuser35 | Password | := | test | | + | | 35 | guestuser35 | Password | := | test | |
− | | 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No | | + | | 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No | |
− | | 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 | | + | | 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 | |
− | +----+-------------+-----------------------+----+----------------------+ | + | +----+-------------+-----------------------+----+----------------------+ |
</code> | </code> | ||
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg21257.html Password-Retry] | #[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg21257.html Password-Retry] | ||
#En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled) | #En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled) | ||
#[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html Limited accounts] | #[http://www.mail-archive.com/freeradius-users@lists.freeradius.org/msg18868.html Limited accounts] |
Revision as of 18:32, 26 June 2006
Generic Radius
- http://www.wi-fiplanet.com/tutorials/article.php/3114511
- http://www.frontios.com/freeradius.html
- http://www.ietf.org/rfc/rfc2866.txt
- http://www.untruth.org/~josh/security/radius/radius-auth.html
- http://www.freeradius.org/rfc/attributes.html
Diverse
FreeRADIUS
Freeradius artikler
- 802.1X Port-Based Authentication HOWTO
- HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant
- FreeRadius and MySQL
- FreeRADIUS and Linux Secure Your WLAN
- Freeradius, EAP-TLS & Windows XP
- Paranoid Penguin - Securing WLANs with WPA and FreeRADIUS, Part 1 2 3
- FreeRADIUS + 802.1x/WPA + OpenLDAP HOWTO
- HOWTO Chillispot with FreeRadius and MySQL
Howto
- Læs et par artikler om WPA-enterprise og sikre dig at du har styr på de forskellige EAP metoder -
- Det vil også være en fordel hvis du læser RFC 2865 som specificerer RADIUS protokollen.
- Installér FreeRADIUS, note: std. debian pakker indeholder ikke EAP/TLS, EAP/TTLS, EAP/PEAP. En alm. recompile fra debian source kan også give problemer. Brug evt. mine sarge pakker
- Konfigurér freeradius f.eks. som i denne HOWTO (howto'en bygger på EAP/PEAP: ms-chapv2)
- husk at tilføje en statisk bruger i
/etc/freeradius/users
- husk at tilføje en statisk bruger i
- start freeradius fra en shell med
freeradius -x
på den måde bliver al debug info skrevet til std-out og man kan følge med i authentikation processen. (Brug evt -X istedet, hvis du vil have ekstra debug info) - afprøv konfig'en med f.eks.
radtest
.radclient
ellerradeapclient
kan også bruges.Usage: radtest user passwd radius-server nas-port-number clientsecret
- konfigurér dit access point til at koble op i mod radius-serveren
- konfigurér en trådløs klient til wpa/radius med den korrekte godkendelsesprotokol(EAP) og med samme krypteringsalgoritme som du satte på accesspointet (TKIP vs AES)
- afprøv klient-opsætningen med den statiske bruger
- Nu er vi klar til at konfigurere sql backenden - følg freeradius & mysql howto'en fra sektionen "Setting up the RADIUS database in MySQL" og frem.
- Sørg for at brugeren bliver tilknyttet "Auth-Type" ":=" "EAP" (enten i
radcheck
ellerradgroupcheck
tabellen)
Noter
- hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i
/usr/share/freeradius-dialupadmin/sql/*.sql
- Sådan sættes user expiration 2
+----+-------------+-----------------------+----+----------------------+
| id | UserName | Attribute | op | Value |
+----+-------------+-----------------------+----+----------------------+
| 35 | guestuser35 | Password | := | test |
| 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No |
| 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 |
+----+-------------+-----------------------+----+----------------------+
- Password-Retry
- En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
- Limited accounts