FreeRADIUS 802.1x сетевой доступ локальных пользователей

Контроль сетевого доступа локальных пользователей может быть использован в небольшой сети уровня рабочих групп. Данный подход не подразумевает наличие централизованных служб вроде LDAP, Active Directory, Samba Domain и др, а все учетные записи для входа в ОС хранятся локально.

FreeRADIUS под управлением ОС ALT

01 Первоначальная настройка
01.01 Установить пакет freeradius:

apt-get install freeradius

1	apt-get install freeradius

01.02 Удалить дефолтные сертификаты:

cd /etc/raddb/certs
rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

1 2	cd /etc/raddb/certs rm -f csr key p12 pem crl crt der mk txt attr *old serial dh

01.03 Измененные параметры генерации ca.cnf, server.cnf:

[ CA_default ]
default_days            = 3640
default_crl_days        = 3640
		
[certificate_authority]
countryName             = RU
stateOrProvinceName     = SMR
localityName            = Samara
organizationName        = SPECNIX
emailAddress            = cert@specnix.corp
commonName              = "RADIUS EAP CA"

[ CA_default ]

default_days = 3640

default_crl_days = 3640

[certificate_authority]

countryName = RU

stateOrProvinceName = SMR

localityName = Samara

organizationName = SPECNIX

emailAddress = cert@specnix.corp

commonName = "RADIUS EAP CA"

01.04 client.cnf

[ CA_default ]
default_days            = 3640
default_crl_days        = 3640

[certificate_authority]
countryName             = RU
stateOrProvinceName     = SMR
localityName            = Samara
organizationName        = SPECNIX
emailAddress            = user@specnix.corp
commonName              = "RADIUS EAP CA"

[ CA_default ]

default_days = 3640

default_crl_days = 3640

[certificate_authority]

countryName = RU

stateOrProvinceName = SMR

localityName = Samara

organizationName = SPECNIX

emailAddress = user@specnix.corp

commonName = "RADIUS EAP CA"

01.05 Сгенерировать новые сертификаты

cd /etc/raddb/certs
make
cd ../
chown root:radiusd certs/*

cd /etc/raddb/certs

make

cd ../

chown root:radiusd certs/*

Сертификат client.p12 импортировать в хранилище сертификатов локального компьютера под управлением ОС Windows. Обязательно, при импорте оставить выбранный пункт: «Включить все расширенные свойства».

02 Основные настройки
02.01 Настроить доступ для локальной учетной записи Administrator ОС Windows.

Добавить в файл /etc/raddb/users следующие строки:

Administrator Cleartext-Password := "p@ssw0rd"
	Tunnel-Type = "VLAN",
	Tunnel-Medium-Type = "IEEE-802",
	Tunnel-Private-Group-ID = "101"

Administrator Cleartext-Password := "p@ssw0rd"

Tunnel-Type = "VLAN",

Tunnel-Medium-Type = "IEEE-802",

Tunnel-Private-Group-ID = "101"

Логин и пароль должны строго соответствовать логину и паролю локальной учетной записи ОС.

02.02 Настроить подключение клиента (коммутатора) к FreeRADIUS
Добавим в файл /etc/raddb/clients.conf строки

client 192.168.0.11 {
	secret = passw0rd
}

client 192.168.0.11 {

secret = passw0rd

}

02.03 Настроить EAP в FreeRADIUS
Изменить параметр в секции eap «use_tunneled_reply = yes», а в других секциях параметр «use_tunneled_reply» перевести в «no» если активен.

/etc/raddb/mods-enabled/eap:

peap {
      tls = tls-common
      default_eap_type = mschapv2
      copy_request_to_tunnel = no
      use_tunneled_reply = yes
      virtual_server = "inner-tunnel"

peap {

tls = tls-common

default_eap_type = mschapv2

copy_request_to_tunnel = no

use_tunneled_reply = yes

virtual_server = "inner-tunnel"

02.04 Запустить FreeRADIUS

systemctl enable radiusd.service --now

1	systemctl enable radiusd.service --now

03 Не обязательные настройки
03.01 Включить поддержку модуля отладки

cd /etc/raddb/sites-enabled/
ln -s ../sites-available/control-socket control-socket

1 2	cd /etc/raddb/sites-enabled/ ln -s ../sites-available/control-socket control-socket

Отредактировать control-socket

listen {
	type = control
	socket = ${run_dir}/${name}.sock
	mode = rw
}

listen {

type = control

socket = ${run_dir}/${name}.sock

mode = rw

}

Активировать отладку

radmin
debug level 4
exit

radmin

debug level 4

exit

Дальше смотреть подробные логи.

04 Настроить ОС Windows

	.----------------------------------------------------------------.
	|	Ethernet: свойства											 |
	|----------------------------------------------------------------|
	| ______| Проверка подлинности |________________________________ |
	||																||
	||	v Вкючить проверку подлинности IEEE 802.1X					||
	||																||
	||	Выберите метод проверки подлинности в сети:					||
	||	.---------------------------------------.	.-----------.	||
	||	| Microsoft: защищенные EAP (PEAP)		|	| Параметры	|	||
	||	'---------------------------------------'	'-----------'	||
	||																||
	||	v	Запоминать мои учетные данные для этого					||
	||		подключения при каждом входе в систему					||
	||																||
	||	_	Вернуться к неавторизованному сетевому					||
	||		доступу													||
	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

.----------------------------------------------------------------.

| Ethernet: свойства |

|----------------------------------------------------------------|

| ______| Проверка подлинности |________________________________ |

|| ||

|| v Вкючить проверку подлинности IEEE 802.1X ||

|| ||

|| Выберите метод проверки подлинности в сети: ||

|| .---------------------------------------. .-----------. ||

|| | Microsoft: защищенные EAP (PEAP) | | Параметры | ||

|| '---------------------------------------' '-----------' ||

|| ||

|| v Запоминать мои учетные данные для этого ||

|| подключения при каждом входе в систему ||

|| ||

|| _ Вернуться к неавторизованному сетевому ||

|| доступу ||

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

	.----------------------------------------------------------------.
	|	Свойства защищенного EAP									 |
	|----------------------------------------------------------------|
	|	При подключении:											 |
	|	v Подтвердить удостоверение сервера с помощью проверки		 |
	|	сертификата													 |
	|	_ Подключаться к следующим серверам (примеры:				 |
	|	srv1;srv2;.*\.srv3\.com):									 |
	|	.-------------------------------------------------------.	 |
	|	|														|	 |
	|	'-------------------------------------------------------'	 |
	|																 |
	|	Доверенные корневые центры сертификации
	|	.-------------------------------------------------------.	 |
	|	|	RADIUS EAP CA										|	 |
	|	'-------------------------------------------------------'	 |
	|																 |
	|	Уведомление перед подключением:								 |
	|	.-------------------------------------------------------.	 |
	|	| Уведомить пользователя, если не указано имя сервера...|	 |
	|	'-------------------------------------------------------'	 |
	|																 |
	|	Выберите метод проверки подлинности:						 |
	|	.---------------------------------------.	.-----------.	 |
	|	| защищенный пароль (EAP-MSCHAP v2)		|	| Настроить	|	 |
	|	'---------------------------------------'	'-----------'	 |
	|	v Включить быстрое переподключение							 |
	|																 |
	|	_ Отключаться, если сервер не поддерживает привязку с		 |
	|	шифрованием через механизм TLV								 |
	|	_ Включить удостоверение	.---------------------------.	 |
	|	конфиденциальности			|							|	 |
	|								'---------------------------'	 |
	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

.----------------------------------------------------------------.

| Свойства защищенного EAP |

|----------------------------------------------------------------|

| При подключении: |

| v Подтвердить удостоверение сервера с помощью проверки |

| сертификата |

| _ Подключаться к следующим серверам (примеры: |

| srv1;srv2;.*\.srv3\.com): |

| .-------------------------------------------------------. |

| | | |

| '-------------------------------------------------------' |

| |

| Доверенные корневые центры сертификации

| .-------------------------------------------------------. |

| | RADIUS EAP CA | |

| '-------------------------------------------------------' |

| |

| Уведомление перед подключением: |

| .-------------------------------------------------------. |

| | Уведомить пользователя, если не указано имя сервера...| |

| '-------------------------------------------------------' |

| |

| Выберите метод проверки подлинности: |

| .---------------------------------------. .-----------. |

| '---------------------------------------' '-----------' |

| v Включить быстрое переподключение |

| |

| _ Отключаться, если сервер не поддерживает привязку с |

| шифрованием через механизм TLV |

| _ Включить удостоверение .---------------------------. |

| конфиденциальности | | |

| '---------------------------' |

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

RADIUS

growpart

Guacamole ALT Server

Пн	Вт	Ср	Чт	Пт	Сб	Вс
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

FreeRADIUS 802.1x сетевой доступ локальных пользователей

Добавить комментарий Отменить ответ

Рубрики

Метки

Свежие комментарии

Архивы