Generic Radius

• http://www.wi-fiplanet.com/tutorials/article.php/3114511
• http://www.frontios.com/freeradius.html
• http://www.ietf.org/rfc/rfc2866.txt
• http://www.untruth.org/~josh/security/radius/radius-auth.html
• http://www.freeradius.org/rfc/attributes.html

Diverse

• wpa_supplicant

FreeRADIUS

• homepage
• wiki

Radius attribute list

Freeradius artikler

• 802.1X Port-Based Authentication HOWTO
• HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant
• FreeRadius and MySQL
• FreeRADIUS and Linux Secure Your WLAN
• Freeradius, EAP-TLS & Windows XP
• Paranoid Penguin - Securing WLANs with WPA and FreeRADIUS, Part 1 2 3
• FreeRADIUS + 802.1x/WPA + OpenLDAP HOWTO
• HOWTO Chillispot with FreeRadius and MySQL

Howto

1. Læs et par artikler om WPA-enterprise og sikre dig at du har styr på de forskellige EAP metoder -
   1. Det vil også være en fordel hvis du læser RFC 2865 som specificerer RADIUS protokollen.
2. Installér FreeRADIUS, note: std. debian pakker indeholder ikke EAP/TLS, EAP/TTLS, EAP/PEAP. En alm. recompile fra debian source kan også give problemer. Brug evt. mine sarge pakker
3. Konfigurér freeradius f.eks. som i denne HOWTO (howto'en bygger på EAP/PEAP: ms-chapv2)
   1. husk at tilføje en statisk bruger i /etc/freeradius/users
4. start freeradius fra en shell med freeradius -x på den måde bliver al debug info skrevet til std-out og man kan følge med i authentikation processen. (Brug evt -X istedet, hvis du vil have ekstra debug info)
5. afprøv konfig'en med f.eks. radtest. radclient eller radeapclient kan også bruges.
   1. Usage: radtest user passwd radius-server nas-port-number clientsecret
6. konfigurér dit access point til at koble op i mod radius-serveren
7. konfigurér en trådløs klient til wpa/radius med den korrekte godkendelsesprotokol(EAP) og med samme krypteringsalgoritme som du satte på accesspointet (TKIP vs AES)
8. afprøv klient-opsætningen med den statiske bruger
9. Nu er vi klar til at konfigurere sql backenden - følg freeradius & mysql howto'en fra sektionen "Setting up the RADIUS database in MySQL" og frem.
10. Sørg for at brugeren bliver tilknyttet "Auth-Type" ":=" "EAP" (enten i radcheck eller radgroupcheck tabellen)

Noter

1. hvis at du vil bruge freeradius-dialupadmin som webinterface bør du også oprette tabellerne, der er defineret i /usr/share/freeradius-dialupadmin/sql/*.sql
2. Sådan sættes user expiration 2

+----+-------------+-----------------------+----+----------------------+ | id | UserName | Attribute | op | Value | +----+-------------+-----------------------+----+----------------------+ | 35 | guestuser35 | Password | := | test | | 36 | guestuser35 | MS-CHAP-Use-NTLM-Auth | := | No | | 37 | guestuser35 | Expiration | := | 24 May 2006 23:00:00 | +----+-------------+-----------------------+----+----------------------+

1. Password-Retry
2. En account kan disables ved at sætte "Auth-Type" ":=" "Reject" (du kan evt. sætte en "Reply-Message" - men hverken wpa_supplicant eller IBM access connections viser beskedet, så det er mere for selv at holde øje med hvorfor at den er disabled)
3. Limited accounts