Mudanças entre as edições de "FreeRADIUS"
Ir para navegação
Ir para pesquisar
(New page: == '''Configuração do FreeRADIUS''' == '''1 Pacotes a serem instalados freeradius:''' No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador d...) |
|||
Linha 21: | Linha 21: | ||
#mude as linhas | #mude as linhas | ||
... | ... | ||
+ | # habilitação dos logs de autenticação # | ||
log_auth = yes | log_auth = yes | ||
+ | ... | ||
+ | # habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação, | ||
+ | log_stripped_names = yes | ||
+ | # toda tentativa mal sucedida será guardada em log # | ||
log_auth_badpass = yes | log_auth_badpass = yes | ||
+ | # toda autenticação bem sucedida será guardada em log # | ||
log_auth_goodpass = yes | log_auth_goodpass = yes | ||
... | ... | ||
− | + | ##no módulo mschap :## | |
− | + | # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio # | |
− | |||
− | |||
− | # | ||
authtype = MS-CHAP | authtype = MS-CHAP | ||
− | |||
use_mppe = yes | use_mppe = yes | ||
... | ... | ||
Linha 38: | Linha 40: | ||
with_ntdomain_hack = yes | with_ntdomain_hack = yes | ||
... | ... | ||
− | ntlm_auth = | + | # linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA# |
+ | ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00} | ||
+ | ... | ||
+ | # módulo referente ao detalhamento e armazenamento dos logs de acesso# | ||
+ | detail auth_log { | ||
+ | detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d | ||
+ | detailperm = 0600 | ||
+ | } | ||
+ | ... | ||
+ | # módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio # | ||
+ | authorize { | ||
+ | ... | ||
+ | auth_log | ||
+ | eap | ||
+ | ... | ||
+ | } | ||
+ | # módulo de autenticação, permitindo o uso do protocolo EAP # | ||
+ | authenticate { | ||
+ | ... | ||
+ | eap | ||
+ | } | ||
+ | ... | ||
+ | # módulo de contas, permitindo detalhamento dos usuários que se autenticam # | ||
+ | accounting { | ||
+ | detail | ||
... | ... | ||
− | + | } | |
− | + | # módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente # | |
− | + | post-auth{ | |
− | + | reply_log | |
− | + | } | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
... | ... | ||
− | + | # módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio # | |
+ | post-proxy { | ||
+ | eap | ||
+ | } | ||
'''/etc/raddb/clients.conf''' | '''/etc/raddb/clients.conf''' |
Edição atual tal como às 23h11min de 4 de agosto de 2009
Configuração do FreeRADIUS
1 Pacotes a serem instalados freeradius:
No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador de software):
freeradius
libfreeradius1
libfreeradius1-devel
Para instalação em Ubuntu, pode-se seguir a fonte: http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2
2 Configuração dos arquivos:
/etc/raddb/radiusd.conf
#mude as linhas ... # habilitação dos logs de autenticação # log_auth = yes ... # habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação, log_stripped_names = yes # toda tentativa mal sucedida será guardada em log # log_auth_badpass = yes # toda autenticação bem sucedida será guardada em log # log_auth_goodpass = yes ... ##no módulo mschap :## # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio # authtype = MS-CHAP use_mppe = yes ... require_encryption = yes ... with_ntdomain_hack = yes ... # linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA# ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00} ... # módulo referente ao detalhamento e armazenamento dos logs de acesso# detail auth_log { detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d detailperm = 0600 } ... # módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio # authorize { ... auth_log eap ... } # módulo de autenticação, permitindo o uso do protocolo EAP # authenticate { ... eap } ... # módulo de contas, permitindo detalhamento dos usuários que se autenticam # accounting { detail ... } # módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente # post-auth{ reply_log } ... # módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio # post-proxy { eap }
/etc/raddb/clients.conf
#### inicio #### ## obs.: foram tiradas todas as linhas não usadas ## client 127.0.0.1 { secret = 1234 shortname = localhost nastype = other } client IP_do_AP{ secret = senha_do_AP shortname = SSID_do_AP nastype = other } ##obs.: quantos forem os AP`s, faça um novo módulo para cada um dentro deste arquivo ########fim#########
/etc/raddb/eap.conf
... #mude default_eap_type = peap ... #comente #leap { #} ... #descomente challenge = "Password: " ... tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem ... certificate_file = ${raddbdir}/certs/cert-srv.pem ... CA_file = ${raddbdir}/certs/demoCA/cacert.pem ... dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random ... fragment_size = 1024 ... } ... ttls { default_eap_type = md5 copy_request_to_tunnel = no ... use_tunneled_reply = no } ... peap { ... default_eap_type = mschapv2 ... }
/etc/raddb/users
#### inicio #### #altere a linha DEFAULT Auth-Type = EAP ... ##comente as linhas #DEFAULT Service-Type == Framed-User # Framed-IP-Address = 255.255.255.254, # Framed-MTU = 576, # Service-Type = Framed-User, # Fall-Through = Yes ########fim#########