Mudanças entre as edições de "FreeRADIUS"
Ir para navegação
Ir para pesquisar
(New page: == '''Configuração do FreeRADIUS''' == '''1 Pacotes a serem instalados freeradius:''' No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador d...) |
|||
| Linha 21: | Linha 21: | ||
#mude as linhas | #mude as linhas | ||
... | ... | ||
| + | # habilitação dos logs de autenticação # | ||
log_auth = yes | log_auth = yes | ||
| + | ... | ||
| + | # habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação, | ||
| + | log_stripped_names = yes | ||
| + | # toda tentativa mal sucedida será guardada em log # | ||
log_auth_badpass = yes | log_auth_badpass = yes | ||
| + | # toda autenticação bem sucedida será guardada em log # | ||
log_auth_goodpass = yes | log_auth_goodpass = yes | ||
... | ... | ||
| − | + | ##no módulo mschap :## | |
| − | + | # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio # | |
| − | |||
| − | |||
| − | # | ||
authtype = MS-CHAP | authtype = MS-CHAP | ||
| − | |||
use_mppe = yes | use_mppe = yes | ||
... | ... | ||
| Linha 38: | Linha 40: | ||
with_ntdomain_hack = yes | with_ntdomain_hack = yes | ||
... | ... | ||
| − | ntlm_auth = | + | # linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA# |
| + | ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00} | ||
| + | ... | ||
| + | # módulo referente ao detalhamento e armazenamento dos logs de acesso# | ||
| + | detail auth_log { | ||
| + | detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d | ||
| + | detailperm = 0600 | ||
| + | } | ||
| + | ... | ||
| + | # módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio # | ||
| + | authorize { | ||
| + | ... | ||
| + | auth_log | ||
| + | eap | ||
| + | ... | ||
| + | } | ||
| + | # módulo de autenticação, permitindo o uso do protocolo EAP # | ||
| + | authenticate { | ||
| + | ... | ||
| + | eap | ||
| + | } | ||
| + | ... | ||
| + | # módulo de contas, permitindo detalhamento dos usuários que se autenticam # | ||
| + | accounting { | ||
| + | detail | ||
... | ... | ||
| − | + | } | |
| − | + | # módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente # | |
| − | + | post-auth{ | |
| − | + | reply_log | |
| − | + | } | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
... | ... | ||
| − | + | # módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio # | |
| + | post-proxy { | ||
| + | eap | ||
| + | } | ||
'''/etc/raddb/clients.conf''' | '''/etc/raddb/clients.conf''' | ||
Edição atual tal como às 23h11min de 4 de agosto de 2009
Configuração do FreeRADIUS
1 Pacotes a serem instalados freeradius:
No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador de software):
freeradius
libfreeradius1
libfreeradius1-devel
Para instalação em Ubuntu, pode-se seguir a fonte: http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2
2 Configuração dos arquivos:
/etc/raddb/radiusd.conf
#mude as linhas
...
# habilitação dos logs de autenticação #
log_auth = yes
...
# habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação,
log_stripped_names = yes
# toda tentativa mal sucedida será guardada em log #
log_auth_badpass = yes
# toda autenticação bem sucedida será guardada em log #
log_auth_goodpass = yes
...
##no módulo mschap :##
# habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio #
authtype = MS-CHAP
use_mppe = yes
...
require_encryption = yes
...
with_ntdomain_hack = yes
...
# linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA#
ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00}
...
# módulo referente ao detalhamento e armazenamento dos logs de acesso#
detail auth_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
detailperm = 0600
}
...
# módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio #
authorize {
...
auth_log
eap
...
}
# módulo de autenticação, permitindo o uso do protocolo EAP #
authenticate {
...
eap
}
...
# módulo de contas, permitindo detalhamento dos usuários que se autenticam #
accounting {
detail
...
}
# módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente #
post-auth{
reply_log
}
...
# módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio #
post-proxy {
eap
}
/etc/raddb/clients.conf
#### inicio ####
## obs.: foram tiradas todas as linhas não usadas ##
client 127.0.0.1 {
secret = 1234
shortname = localhost
nastype = other
}
client IP_do_AP{
secret = senha_do_AP
shortname = SSID_do_AP
nastype = other
}
##obs.: quantos forem os AP`s, faça um novo módulo para cada um dentro deste arquivo
########fim#########
/etc/raddb/eap.conf
...
#mude
default_eap_type = peap
...
#comente
#leap {
#}
...
#descomente
challenge = "Password: "
...
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem
...
certificate_file = ${raddbdir}/certs/cert-srv.pem
...
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
...
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
...
fragment_size = 1024
...
}
...
ttls {
default_eap_type = md5
copy_request_to_tunnel = no
...
use_tunneled_reply = no
}
...
peap {
...
default_eap_type = mschapv2
...
}
/etc/raddb/users
#### inicio #### #altere a linha DEFAULT Auth-Type = EAP ... ##comente as linhas #DEFAULT Service-Type == Framed-User # Framed-IP-Address = 255.255.255.254, # Framed-MTU = 576, # Service-Type = Framed-User, # Fall-Through = Yes ########fim#########