Muut työtilat
Page History
...
Näissä ohjeissa käsitellään miten FreeRADIUS-palvelin liitetään ulkoiseen käyttäjätietokantaan. Ennen kuin siirrytään tähän vaiheeseen, on syytä konfiguroida FreeRADIUS-palvelimen perusasetukset. Ohjeita tähän löytyy sivulta FreeRADIUS-konfigurointi.
Näiden ohjeiden pääkirjoittajana on toiminut Wenche Backman-Kamila paitsi lukujen "Useamman tietokannan huomioonottaminen" ja "EAP-TLS-autentikointi" osalta, jotka on kirjoittanut Tuukka Vainio.
...
Seuraavaksi lisätään /etc/raddb/sites-available-hakmeistossa hakemistossa olevalle eduroam-inner-tunnel-tiedostolle merkityt rivit:
| Code Block | ||
|---|---|---|
| ||
authorize {
auth_log
files
suffix
mschap
#Jos mschap palauttaa "noop", laitetaan Auth-Type:n arvoksi "ntlm_auth", jotta TTLS-PAP toimisi AD:n kanssa.
#mschap palauttaa "ok" TTLS-MSCHAPv2:lle ja "noop" TTLS-PAP:ille. mschap palautaaa "noop" myös noop jos sisempi
#menetelmä on EAP-tyyppinen, eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2).
#PEAPin sisäinen menetelmä on aina oltava EAP-tyyppinen.
if (noop) { #lisätään
update control{ #lisätään
Auth-Type := ntlm_auth #lisätään
} #lisätään
} #lisätään
pap
eap {
ok = return
}
#Jos eap palauttaa "updated", autentikointimenetelmä (Auth-Type) on EAP ja aikaisemmin määritelty ntlm_auth
#voidaan poistaa. eap palauttaa "updated" jos sisempi menetelmä on EAP-tyyppinen eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2).
#eap palauttaa "noop" TTLS-MSCHAPv2:lle ja TTLS-PAP:lle.
#Jos tämä if-lohko poistetaan autentikointi toimii edelleen, mutta kaksi autentikointimenetelmää tulee siinä tapauksessa
#määritellyksi tilanteissa, jossa sisempi menetelmä on EAP-tyyppinen: EAP ja ntlm_auth.
if (updated) { #lisätään
update control{ #lisätään
Auth-Type -= ntlm_auth #lisätään
} #lisätään
} #lisätään
}
authenticate {
Auth-Type PAP{
pap
}
Auth-Type MS-CHAP{
mschap
}
Auth-Type ntlm_auth{ #lisätään
ntlm_auth #lisätään
} #lisätään
# Allow EAP authentication.
eap
}
.
.
. |
Kun eduroam-inner-tunnel muokataan tällä tavalla, voidaan tukea myös PEAP-MSCHAPv2-, TTLS-MSCHAPv2- ja TTLS-EAP-MSCHAPv2-menetelmiä.
FreeRADIUS-palvelimen konfiguroinnin yhteydessä kannattaa myös tutustua sen omaan prosessointikieleen (FreeRADIUS Processing un-language). Tähän voidaan perehtyä palvelimen mukana tulevan ohjeen avulla, joka avataan kirjoittamalla komentoriville man unlang.
...
- Ainakin Samban versio 3.5.10-114(.el6.i686) toimii hyvin Windows 2008 R2:n kanssa.
- Jos on käytössä SELinux, saattaa olla, että lisäkonfigurointi on tarpeen.
- On huomattu, että winbind-demoni daemon saattaa välillä saattaa kaatua, ilmeisesti muistivuodon vuoksi. Ongelma voidaan kiertää käynnistämällä winbind uudestaan esim. kerran viikossa, jos winbindin päivittäminen ei auta.
...
authorize-lohkoon lisätään suffix-määritelmä realm-osuuden poistamiseksi sekä ldap-määritelmä. Ilman suffix-määritelmää tietokantahaku tullaan suorittamaan käyttäjälle kayttajatunnus@ldapdomain.fi:lle , mutta suffix-määritelmällä haku suoritetaan vain käyttäjälle kayttajatunnus.
...
| Code Block | ||
|---|---|---|
| ||
server eduroam {
authorize {
auth_log
suffix
group {
eap {
fail = 1
ok = return
}
ldap {
fail = 1
ok = return
}
sql {
fail = 1
ok = return
}
}
}
authenticate {
.
.
. |
Tällöin ensimmäinen OK:ta n palauttava moduuli lopettaa autentikoinnin. Jos mikään moduuli ei palauta OK:ta, käyttäjälle palautetaan Access-Reject-vastaus.
...
PKI-ympäristöstä tarvitaan sen juurivarmenne (alla UniversityOfKaupunkiCA.crt), ja mahdollisesti FreeRADIUS-palvelimille myönnetyt palvelinvarmenteet, mikäli eduroamissa käytettyjä varmenteita ei haluta käyttää RADIUS-palvelimen tunnistamiseen.
Periaatteessa FreeRADIUSen FreeRADIUS-palvelimen pitäisi tunnistaa mitä EAP-metodia käytetään, mutta helpoimmalla pääsi pääsee kopioimalla uuden eap-instanssin (eap-tls) eap.conf:n loppuun:
...
Overview
Content Tools