RADIUS

From HoerupWiki
Revision as of 18:32, 26 June 2006 by 192.168.10.10 (talk) (Noter)
Jump to: navigation, search

Generic Radius

Diverse

FreeRADIUS

Radius attribute list

Freeradius artikler

Howto

  1. Læs et par artikler om WPA-enterprise og sikre dig at du har styr på de forskellige EAP metoder -
    1. Det vil også være en fordel hvis du læser RFC 2865 som specificerer RADIUS protokollen.
  2. Installér FreeRADIUS, note: std. debian pakker indeholder ikke EAP/TLS, EAP/TTLS, EAP/PEAP. En alm. recompile fra debian source kan også give problemer. Brug evt. mine sarge pakker
  3. Konfigurér freeradius f.eks. som i denne HOWTO (howto'en bygger på EAP/PEAP: ms-chapv2)
    1. husk at tilføje en statisk bruger i /etc/freeradius/users
  4. start freeradius fra en shell med freeradius -x på den måde bliver al debug info skrevet til std-out og man kan følge med i authentikation processen. (Brug evt -X istedet, hvis du vil have ekstra debug info)
  5. afprøv konfig'en med f.eks. radtest. radclient eller radeapclient kan også bruges.
    1. Usage: radtest user passwd radius-server nas-port-number clientsecret
  6. konfigurér dit access point til at koble op i mod radius-serveren
  7. konfigurér en trådløs klient til wpa/radius med den korrekte godkendelsesprotokol(EAP) og med samme krypteringsalgoritme som du satte på accesspointet (TKIP vs AES)
  8. afprøv klient-opsætningen med den statiske bruger
  9. Nu er vi klar til at konfigurere sql backenden - følg freeradius & mysql howto'en fra sektionen "Setting up the RADIUS database in MySQL" og frem.
  10. Sørg for at brugeren bliver tilknyttet "Auth-Type" ":=" "EAP" (enten i radcheck eller radgroupcheck tabellen)

Noter

  1. hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i /usr/share/freeradius-dialupadmin/sql/*.sql
  2. Sådan sættes user expiration 2

+----+-------------+-----------------------+----+----------------------+
| id | UserName    | Attribute             | op | Value                |
+----+-------------+-----------------------+----+----------------------+
| 35 | guestuser35 | Password              | := | test                 |
| 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No                   |
| 37 | guestuser35 | Expiration            | := | 24 May 2006 23:00:00 |
+----+-------------+-----------------------+----+----------------------+

  1. Password-Retry
  2. En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
  3. Limited accounts