WIFI a RADIUS 2 – Nastavení serveru Freeradius
Krok 4 – Nastavení serveru Freeradius
4.1 Instalace free radius serveru:
yum -y install freeradius
a necháme doinstalovat závislostmi požadované balíčky.
Poznámka: Freeradius dostupný v repozitáři CentOS 5.x je freeradius-1.1.3… Má již s podporu openssl, jkterá ale není podporována od freeradius.org (podporují pouze verzi 1.1.7.x ). Poslední verze Latest version 2.0.5 má nové rysy, ale nejsou k dispozici rpm balíčky pro CentOS 5.x ačkoli .src.rpms of 2.0.3 exiistuje pro Fedoru 9.
FR 2.x je ale od verze 1.x odlišný ve více ohledech (cesty/soubory různých protokolů).
4.2 Odstranění defaultních certifikátových souborů FreeRadiusu atd.:
rm -Rf /etc/raddb/demoCA
Zazálohujeme aktuální /etc/raddb/certs/demoCA;
cd /etc/raddb
mv certs certs_backup
4.3 Vytvoříme odpovádající adresáře v /etc/raddb ve kterých umístíme certifikátové informace:
mkdir /etc/raddb/certs
4.4 Přesuneme serverový certifikát a kořenový certifikát a random soubor do adresáře FreeRadiusu:
cp /etc/pki/CA/cacert.pem /etc/raddb/certs/ -v
cp /etc/pki/CA/server_keycert.pem /etc/raddb/certs/ -v
cp /etc/pki/CA/random /etc/raddb/certs/ -v
4.5 Vytvoříme Diffie-Hellmanův soubor pro TLS:
cd /etc/pki/CA;
openssl dhparam -check -text -5 512 -out dh
A zkopírujeme tento „dh“ soubor do adresáře /etc/raddb/certs:
cp /etc/pki/CA/dh /etc/raddb/certs -v
4.6 Vytvoříme náhodný bitstreamový soubor pro TLS a změníme vlastnická práva certifikátu a smateriálu pro freeradius tak, aby to bylo pro něj čitelné:
cd /etc/raddb;
dd if=/dev/urandom of=random count=2
chown -R radiusd /etc/raddb/certs
4.7 Upravíme /etc/raddb/eap.confcd /etc/raddb
cp eap.conf eap.conf.zal
Plný výpis „/etc/raddb/eap.conf“
Poznámka: u private_key_password doplníme naši pass phrasi.
eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no md5 { } leap { } gtc { auth_type = PAP } tls { private_key_password = lettheserverin private_key_file = ${raddbdir}/certs/server_keycert.pem certificate_file = ${raddbdir}/certs/server_keycert.pem CA_file = ${raddbdir}/certs/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random } ttls { default_eap_type = mschapv2 use_tunneled_reply = yes } peap { default_eap_type = mschapv2 } mschapv2 { } }
4.8 Přidáme radius klienta pro wireless přístupový bod do /etc/raddb/clients.conf:
For the dlink AP3200:
client 192.168.0.53 { secret =shortname = AP3200 nastype = other }
4.9 Upravíme /etc/raddb/radiusd.conf:
Spíše než úprave je potřeba zkontrolovat, že jsou následuující volby odkomentovány.
Další úpravy jako např. podpora přidávání pro další protokoly, vypnutí neužitečných modulů, zvýšení výkonu a td – to vše lze udělat dodatečně.
log_auth = yes authorize { preprocess chap mschap suffix pap eap files } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } # unix eap }
4.10 Upravíme /etc/raddb/users a nastartujeme server:
Vytvoříme uživatele na začátku souboru polde návodu v konfiguračním souboru
/etc/raddb/users:
"John Doe" Auth-Type := Local, User-Password == "hello"
Reply-Message = "Hello, %u"
Now start the radius server:
/etc/init.d/radiusd start