Versions Compared

Old Version 49

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Seuraavaksi lisätään /etc/raddb/sites-available-hakmeistossa hakemistossa olevalle eduroam-inner-tunnel-tiedostolle merkityt rivit:

Code Block
languagebash
authorize {
 auth_log
 files
 suffix
 mschap
 #Jos mschap palauttaa "noop", laitetaan Auth-Type:n arvoksi "ntlm_auth", jotta TTLS-PAP toimisi AD:n kanssa.
 #mschap palauttaa "ok" TTLS-MSCHAPv2:lle ja "noop" TTLS-PAP:ille. mschap palautaaa "noop" myös noop jos sisempi
 #menetelmä on EAP-tyyppinen, eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2).
 #PEAPin sisäinen menetelmä on aina oltava EAP-tyyppinen.
 if (noop) { #lisätään
 	update control{ #lisätään
 		Auth-Type := ntlm_auth #lisätään
 		} #lisätään
 } #lisätään
 pap
 eap {
 	ok = return
 }
 
 #Jos eap palauttaa "updated", autentikointimenetelmä (Auth-Type) on EAP ja aikaisemmin määritelty ntlm_auth 
 #voidaan poistaa. eap palauttaa "updated" jos sisempi menetelmä on EAP-tyyppinen eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2).
 #eap palauttaa "noop" TTLS-MSCHAPv2:lle ja TTLS-PAP:lle.
 #Jos tämä if-lohko poistetaan autentikointi toimii edelleen, mutta kaksi autentikointimenetelmää tulee siinä tapauksessa 
 #määritellyksi tilanteissa, jossa sisempi menetelmä on EAP-tyyppinen: EAP ja ntlm_auth.
 if (updated) { #lisätään
 	update control{ #lisätään
 		Auth-Type -= ntlm_auth #lisätään
	 } #lisätään
 } #lisätään
}

authenticate {
 Auth-Type PAP{
 pap
 }
 Auth-Type MS-CHAP{
 mschap
 }
 Auth-Type ntlm_auth{ #lisätään
 ntlm_auth #lisätään
 } #lisätään
 # Allow EAP authentication.
 eap
}
.
.
.

Kun eduroam-inner-tunnel muokataan tällä tavalla, voidaan tukea myös PEAP-MSCHAPv2-, TTLS-MSCHAPv2- ja TTLS-EAP-MSCHAPv2-menetelmiä.

FreeRADIUS-palvelimen konfiguroinnin yhteydessä kannattaa myös tutustua sen omaan prosessointikieleen (FreeRADIUS Processing un-language). Tähän voidaan perehtyä palvelimen mukana tulevan ohjeen avulla, joka avataan kirjoittamalla komentoriville man unlang.

...

  • Ainakin Samban versio 3.5.10-114(.el6.i686) toimii hyvin Windows 2008 R2:n kanssa.
  • Jos on käytössä SELinux, saattaa olla, että lisäkonfigurointi on tarpeen.
  • On huomattu, että winbind-demoni daemon saattaa välillä saattaa kaatua, ilmeisesti muistivuodon vuoksi. Ongelma voidaan kiertää käynnistämällä winbind uudestaan esim. kerran viikossa, jos winbindin päivittäminen ei auta.

...

authorize-lohkoon lisätään suffix-määritelmä realm-osuuden poistamiseksi sekä ldap-määritelmä. Ilman suffix-määritelmää tietokantahaku tullaan suorittamaan käyttäjälle kayttajatunnus@ldapdomain.fi:lle , mutta suffix-määritelmällä haku suoritetaan vain käyttäjälle kayttajatunnus.

...

Code Block
languagebash
server eduroam {
 authorize {
 	auth_log
 	suffix
 	group {
 		eap {
 			fail = 1
 			ok = return
 		}
 		ldap {
 			fail = 1
 			ok = return
 		}
 		sql {
 			fail = 1
 			ok = return
 		}
 	}
 }
 authenticate {
.
.
.

Tällöin ensimmäinen OK:ta n palauttava moduuli lopettaa autentikoinnin. Jos mikään moduuli ei palauta OK:ta, käyttäjälle palautetaan Access-Reject-vastaus.

...

PKI-ympäristöstä tarvitaan sen juurivarmenne (alla UniversityOfKaupunkiCA.crt), ja mahdollisesti FreeRADIUS-palvelimille myönnetyt palvelinvarmenteet, mikäli eduroamissa käytettyjä varmenteita ei haluta käyttää RADIUS-palvelimen tunnistamiseen.

Periaatteessa FreeRADIUSen FreeRADIUS-palvelimen pitäisi tunnistaa mitä EAP-metodia käytetään, mutta helpoimmalla pääsi pääsee kopioimalla uuden eap-instanssin (eap-tls) eap.conf:n loppuun:

...