Versions Compared

Old Version 13

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Tomi Salmi

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Section
Column
width33%
Panel
borderStyle
titleColorblack
borderWidth1
titleBGColor#66a4ae
borderWidthborderStyle1solid
titleTämän sivun sisältö:solid
Table of Contents
maxLevel3
Column
width33%
 
Column
width33%
 

...

FreeRADIUS-asennukseen löytyy ohjeita selityksineen netistä: http://wiki.freeradius.org/building/Build. Tähän on pyritty keräämään yhteenveto oheista ilman tarkempia selityksiä. Tässä esimerkissä alustana on käytetty ollut RedHat Enterprise Linux Server 5 64 bit ja sen tarkat asennusohjeet löytyvät täältä: http://wiki.freeradius.org/Red_Hat_FAQ.

FreeRADIUS on saatavilla netistä: http://koji.fedoraproject.org/koji/packageinfo?packageID=298. Täältä ladataan SRPM-tiedosto, joka tämän esimerkin tapauksessa oli freeradius-2.1.3-1.fc9.src.rpm. Tiedosto siirretään /usr/src/redhat/:in alle esim. tiedostoon /usr/src/redhat/FreeRadSrmp. SRPM-tiedosto puretaan ajamalla rpm -ihv -komentoa hakemistossa, johon freeradius-2.1.3-1.fc9.src.rpm on tallennettu: rpm -ihv freeradius-2.1.3-1.fc9.src.rpm .

...

Palvelimen konfigurointia voidaan ensimmäisessä vaiheessa testata paikallisesti käyttäen klienttiä localhost. Hakemistosta /usr/src/redhat/BUILD/freeradius-server-2.1.3/src/main/ ajetaan komento /usr/src/redhat/BUILD/freeradius-server-2.1.3/src/main/radtest kayttajatunnus@myorganisation.fi SaLaSaNa localhost 1 testing123

...

FreeRADIUS sisältää testausvarmenteita konfiguroinnin ja ensimmäisen testauksen helpottamiseksi, mutta näitä varmenteita ei käytetä tuotannossa. Tuotantoa varten voidaan joko luoda itseallekirjoitettu varmenne tai tilata palvelinvarmenne Funetin varmennepalvelun kautta. Itseallekirjoitetun varmenteen luomiseen löytyy ohjeita /etc/raddb/certs-hakemiston README-tiedostosta. Paras tietoturvan taso on saavutettavissa omalla, pelkästään eduroam-käyttöön perustetulla CA:lla.

Varmenne otetaan käyttöön muokkaamalla eap.conf-tiedoston TLS-lohkoa seuraavalla tavalla (katso vaihtoehtoisesti liitetiedostoa eap.conf):.

Code Block
languagebash
tls {
    private_key_password = SaLaSanaSi
    private_key_file = /pathToCert/my_server.pem
    certificate_file = /pathToCert/my_server.crt
    CA_file = /pathToCert/cert_chain.pem
    
    # make_cert_command = "${certdir}/bootstrap" Tämän rivin avulla luodaan testausvarmenteet ja se on tässä vaiheessa kommentoitava pois.

}

...

Jos on käytössä virtuaaliverkkoja (Virtual LAN, VLAN), käyttäjiä voidaan asettaa eri VLAN-verkkoihin, jos esimerkiksi halutaan antaa oman organisaation käyttäjille enemmän oikeuksia kun vierailijoille. Virtuaaliverkot on luonnollisesti määriteltävä myös WLAN-kontrolleriin sekä lähiverkon muihin elementteihin, kuten kytkimiin. Voi olla järkevää määritellä vierailijoille tarkoitettu VLAN oletukseksi ja laittaa omasta realmista tulevat käyttäjät (user@myorganisation.fi) heille tarkoitetulle VLAN:eihin autentikoinnin onnistuttua. Tässä yhteydessä on myös otettava huomioon, että omasta realmista tulevat käyttäjät laitetaan heille tarkoitettuun VLANiin vain jos he ovat oman organisaationsa verkossa. Heidän vieraillessaan vieraileva organisaatio päättää, mihin VLANiin heidät laitetaan eikä VLAN-määrityksiä lähetetä oman organisaation ulkopuolelle.

...