freeradius

Horváth Péter justicefriend at freemail.hu
2011. Jan. 5., Sze, 08:12:32 CET


  2011.01.05. 0:16 keltezéssel, Fodor Zsolt írta:
> Üdv Mindenkinek!
>
> Adott néhány router, amelyet használnának a kollégák. A routerekben
> beállítható, hogy egy radius szerver végezze az azonosítást.
>
> Adott egy linux szerver (debian lenny), hogy semmi mást ne zavarjon,
> tekinthető tesztszervernek, arra a célra hoztam létre, hogy kikísérletezzem a
> beállítást.
> Itthon is megvan a párja, most éppen az előtt (is) ülök.
>
> Túl sok időm nem volt rá (meg nem is lesz), de nem tűnt bonyolultnak a
> beállítás... Egy volt tanítvány azt mondta, hogy a csomagként meglévő
> freeradius szerver nem lesz jó, fordítsak egyet forrásból. (Ezt a lépést még
> októberben megtettem verziószám 2.1.10, igaz kb. szilveszterig pihent az ügy.)
>
> Ezt próbáltam követni:
> http://www.freesoftwaremagazine.com/community_posts/howto_incremental_setup_freeradius_server_eap_authentications
>
> A 3. lépésig eljutok, a radeapclient localhostról megy, másikról nem, mert meg
> debug módban indított freeradius nem is érzékeli, hogy szólították. (A
> routeren keresztül küldött kérést ugyanakkor érzékeli, tehát nem a
> clients.conf-ban szúrtam el, mert a gép és a router címe is ugyanúgy szerepel.)
>
> Hogyan tovább?
>
> Esetleg nincs valami tuti leírás, amiben a lehetséges hibák utáni teendők is
> szerepelnek?

Én is próbálkoztam, de aztán rájöttem, hogy ez nem az amire gondoltam..
Sajnos a RADIUS azonosítás opció a közönséges AP-k esetén valójában 
802.1X protokollt jelent, ami vázlatosan azt jelenti, hogy a freeradius
EAP-TLS, EAP-TTLS, helyes bekonfigurálása mellett, az összes kliensre 
tanusitványt kell installálni, ahhoz hogy tudjon csatlakozni.
Így okostelefonok, egyéb buta kütyük. nem fognak tudni csatlakozni...

A freeradius EAP-TLS, EAP-TTLS modulja csak a szerver disztribuciókban 
van benne. Ilyen pl a Suse Linux Enterprise Server.
Ha magad fordítottad a freeradiust, akkor sűrün kell nézegetni a log-ot 
hogy beindult e az összes modul.

Persze Mikrotikben, DD-WRT-ben van olyan opció is hogy a kliens MAC 
addressét használja RADIUS azonosításra, és nem kell
tanusítványokkal szenvedni. De a közönséges AP-k nem ilyenek.

A Radius szervert célszerű az "NTRadPing.exe" programmal tesztelni, már 
csak a GUI-s felület miatt is.
Vannak leírások a fenti link mellett érdemes rákeresni az EAP-TLS, 
EAP-TTLS, 802.1X kifejezésekre.

Péter





További információk a(z) Techinfo levelezőlistáról