Krok 4 – Nastavení serveru Freeradius

4.1 Instalace free radius serveru:

yum -y install freeradius

a necháme doinstalovat závislostmi požadované balíčky.

Poznámka: Freeradius dostupný v repozitáři CentOS 5.x je freeradius-1.1.3… Má  již s podporu openssl,  jkterá ale není podporována od freeradius.org (podporují pouze verzi 1.1.7.x ). Poslední verze Latest version 2.0.5  má nové rysy, ale nejsou k dispozici rpm balíčky pro CentOS 5.x ačkoli .src.rpms of 2.0.3  exiistuje pro Fedoru 9.
FR 2.x je ale od verze 1.x odlišný ve více ohledech (cesty/soubory různých protokolů).

4.2 Odstranění defaultních certifikátových souborů FreeRadiusu atd.:

rm -Rf /etc/raddb/demoCA

Zazálohujeme aktuální /etc/raddb/certs/demoCA;

cd /etc/raddb
mv certs certs_backup

4.3 Vytvoříme odpovádající adresáře v /etc/raddb ve kterých umístíme certifikátové informace:

mkdir /etc/raddb/certs

4.4 Přesuneme serverový certifikát a kořenový certifikát a random soubor do adresáře FreeRadiusu:

cp /etc/pki/CA/cacert.pem /etc/raddb/certs/ -v

cp /etc/pki/CA/server_keycert.pem /etc/raddb/certs/ -v

cp /etc/pki/CA/random /etc/raddb/certs/ -v

4.5 Vytvoříme Diffie-Hellmanův soubor pro TLS:

cd /etc/pki/CA;

openssl dhparam -check -text -5 512 -out dh

A zkopírujeme tento „dh“ soubor do adresáře /etc/raddb/certs:

cp /etc/pki/CA/dh /etc/raddb/certs -v

4.6 Vytvoříme náhodný bitstreamový soubor pro TLS a změníme vlastnická práva certifikátu a smateriálu pro freeradius tak, aby to bylo pro něj čitelné:

cd /etc/raddb;

dd if=/dev/urandom of=random count=2

chown -R radiusd /etc/raddb/certs

4.7 Upravíme /etc/raddb/eap.conf

cd /etc/raddb
cp eap.conf eap.conf.zal

Plný výpis „/etc/raddb/eap.conf“
Poznámka: u private_key_password doplníme naši pass phrasi.

eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no md5 { } leap { } gtc { auth_type = PAP } tls { private_key_password = lettheserverin private_key_file = ${raddbdir}/certs/server_keycert.pem certificate_file = ${raddbdir}/certs/server_keycert.pem CA_file = ${raddbdir}/certs/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random } ttls { default_eap_type = mschapv2 use_tunneled_reply = yes } peap { default_eap_type = mschapv2 } mschapv2 { } }

4.8 Přidáme radius klienta pro wireless přístupový bod do /etc/raddb/clients.conf:

For the dlink AP3200:

client 192.168.0.53 { secret =  shortname = AP3200 nastype = other }

4.9 Upravíme /etc/raddb/radiusd.conf:

Spíše než úprave je potřeba zkontrolovat, že jsou následuující volby odkomentovány.
Další úpravy jako např. podpora přidávání pro další protokoly, vypnutí neužitečných modulů, zvýšení výkonu a td – to vše lze udělat dodatečně.

log_auth = yes authorize { preprocess chap mschap suffix pap eap files } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } # unix eap }

4.10 Upravíme /etc/raddb/users a nastartujeme server:

Vytvoříme uživatele na začátku souboru polde návodu v konfiguračním souboru
/etc/raddb/users:

"John Doe"	Auth-Type := Local, User-Password == "hello" 
		Reply-Message = "Hello, %u"

Now start the radius server:

/etc/init.d/radiusd start