FreeRADIUS

De MediaWiki do Campus São José
Ir para navegação Ir para pesquisar
A versão imprimível não é mais suportada e pode ter erros de renderização. Atualize os favoritos do seu navegador e use a função de impressão padrão do navegador.

Configuração do FreeRADIUS

1 Pacotes a serem instalados freeradius:

No Mandriva, instale os pacotes (pode buscá-los no próprio ambiente gráfico, no gerenciador de software):

freeradius

libfreeradius1

libfreeradius1-devel

Para instalação em Ubuntu, pode-se seguir a fonte: http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2

2 Configuração dos arquivos:

/etc/raddb/radiusd.conf

  #mude as linhas
  ...
  # habilitação dos logs de autenticação #
  log_auth = yes
  ...
  # habilitação do registro de logs com os dados completos do User-Name do pacote de autenticação,
  log_stripped_names = yes
  # toda tentativa mal sucedida será guardada em log # 
  log_auth_badpass = yes
  # toda autenticação bem sucedida será guardada em log #
  log_auth_goodpass = yes
  ...
  ##no módulo mschap :##
  # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na segurança das redes sem fio #
  authtype = MS-CHAP
  use_mppe = yes
  ...
  require_encryption = yes
  ...
  with_ntdomain_hack = yes
  ...
  # linha de comando que repassa a solicitação de autenticação ao WINBIND e SAMBA#
  ntlm_auth = ``/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --  nt-response=%{mschap:NT-Response:-00}
  ...
  # módulo referente ao detalhamento e armazenamento dos logs de acesso#
    detail auth_log {
        detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
        detailperm = 0600
    }
  ...
  # módulo de autorizações, permitindo funcionamento dos log e do uso do protocolo EAP,para redes sem fio #
  authorize {
  ...
  auth_log
  eap
  ...
  }
  # módulo de autenticação, permitindo o uso do protocolo EAP #
  authenticate {
  ...
  eap 
  }
  ...
  # módulo de contas, permitindo detalhamento dos usuários que se autenticam #
  accounting {
  detail
  ...
  }
  # módulo de pós-autenticação, permitindo logs de mensagens trocadas entre servidor e cliente #
  post-auth{
  reply_log
  }
  ...
  # módulo pós-proxy, também habilitando o protocolo EAP para as redes sem fio #
  post-proxy {
  eap
  } 

/etc/raddb/clients.conf

  #### inicio ####
  ## obs.: foram tiradas todas as linhas não usadas ##
  client 127.0.0.1 {
          secret = 1234
          shortname = localhost
          nastype = other
  }
  client IP_do_AP{
          secret = senha_do_AP
          shortname = SSID_do_AP
          nastype = other
  }
  ##obs.: quantos forem os AP`s, faça um novo módulo para cada um dentro deste arquivo
  ########fim#########

/etc/raddb/eap.conf

  ...
  #mude
  default_eap_type = peap
  ...
  #comente
  #leap {
  #}
  ...
  #descomente
  challenge = "Password: "
  ...
  tls {
            private_key_password = whatever
            private_key_file = ${raddbdir}/certs/cert-srv.pem
  ...
            certificate_file = ${raddbdir}/certs/cert-srv.pem
  ...
            CA_file = ${raddbdir}/certs/demoCA/cacert.pem
  ...
            dh_file = ${raddbdir}/certs/dh
            random_file = ${raddbdir}/certs/random
  ...
            fragment_size = 1024
  ...
            }
  ...
  ttls {
        default_eap_type = md5
        copy_request_to_tunnel = no
        ...
           use_tunneled_reply = no
       }
  ...
  peap {
  ...
          default_eap_type = mschapv2
  ...
       }

/etc/raddb/users

  #### inicio ####
  #altere a linha
  DEFAULT Auth-Type = EAP
  ...
  ##comente as linhas
  #DEFAULT    Service-Type == Framed-User
  #   Framed-IP-Address = 255.255.255.254,
  #   Framed-MTU = 576,
  #   Service-Type = Framed-User,
  #   Fall-Through = Yes
  ########fim#########