FreeRADIUS
Revisão de 23h11min de 4 de agosto de 2009 por Cesar Prescher (discussão | contribs) (→'''Configuração do FreeRADIUS''')
Configuração do FreeRADIUS
1 Pacotes a serem instalados freeradius:
No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador de software):
freeradius
libfreeradius1
libfreeradius1-devel
Para instalação em Ubuntu, pode-se seguir a fonte: http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2
2 Configuração dos arquivos:
/etc/raddb/radiusd.conf
#mude as linhas ... # habilitação dos logs de autenticação # log_auth = yes ... # habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação, log_stripped_names = yes # toda tentativa mal sucedida será guardada em log # log_auth_badpass = yes # toda autenticação bem sucedida será guardada em log # log_auth_goodpass = yes ... ##no módulo mschap :## # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio # authtype = MS-CHAP use_mppe = yes ... require_encryption = yes ... with_ntdomain_hack = yes ... # linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA# ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00} ... # módulo referente ao detalhamento e armazenamento dos logs de acesso# detail auth_log { detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d detailperm = 0600 } ... # módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio # authorize { ... auth_log eap ... } # módulo de autenticação, permitindo o uso do protocolo EAP # authenticate { ... eap } ... # módulo de contas, permitindo detalhamento dos usuários que se autenticam # accounting { detail ... } # módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente # post-auth{ reply_log } ... # módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio # post-proxy { eap }
/etc/raddb/clients.conf
#### inicio #### ## obs.: foram tiradas todas as linhas não usadas ## client 127.0.0.1 { secret = 1234 shortname = localhost nastype = other } client IP_do_AP{ secret = senha_do_AP shortname = SSID_do_AP nastype = other } ##obs.: quantos forem os AP`s, faça um novo módulo para cada um dentro deste arquivo ########fim#########
/etc/raddb/eap.conf
... #mude default_eap_type = peap ... #comente #leap { #} ... #descomente challenge = "Password: " ... tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem ... certificate_file = ${raddbdir}/certs/cert-srv.pem ... CA_file = ${raddbdir}/certs/demoCA/cacert.pem ... dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random ... fragment_size = 1024 ... } ... ttls { default_eap_type = md5 copy_request_to_tunnel = no ... use_tunneled_reply = no } ... peap { ... default_eap_type = mschapv2 ... }
/etc/raddb/users
#### inicio #### #altere a linha DEFAULT Auth-Type = EAP ... ##comente as linhas #DEFAULT Service-Type == Framed-User # Framed-IP-Address = 255.255.255.254, # Framed-MTU = 576, # Service-Type = Framed-User, # Fall-Through = Yes ########fim#########