Muut työtilat
Page History
...
Seuraavaksi lisätään /etc/raddb/sites-available-hakmeistossa hakemistossa olevalle eduroam-inner-tunnel-tiedostolle merkityt rivit:
Code Block | ||
---|---|---|
| ||
authorize { auth_log files suffix mschap #Jos mschap palauttaa "noop", laitetaan Auth-Type:n arvoksi "ntlm_auth", jotta TTLS-PAP toimisi AD:n kanssa. #mschap palauttaa "ok" TTLS-MSCHAPv2:lle ja "noop" TTLS-PAP:ille. mschap palautaaa "noop" myös noop jos sisempi #menetelmä on EAP-tyyppinen, eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2). #PEAPin sisäinen menetelmä on aina oltava EAP-tyyppinen. if (noop) { #lisätään update control{ #lisätään Auth-Type := ntlm_auth #lisätään } #lisätään } #lisätään pap eap { ok = return } #Jos eap palauttaa "updated", autentikointimenetelmä (Auth-Type) on EAP ja aikaisemmin määritelty ntlm_auth #voidaan poistaa. eap palauttaa "updated" jos sisempi menetelmä on EAP-tyyppinen eli PEAP-MSCHAPv2 tai TTLS-(EAP-MSCHAPv2). #eap palauttaa "noop" TTLS-MSCHAPv2:lle ja TTLS-PAP:lle. #Jos tämä if-lohko poistetaan autentikointi toimii edelleen, mutta kaksi autentikointimenetelmää tulee siinä tapauksessa #määritellyksi tilanteissa, jossa sisempi menetelmä on EAP-tyyppinen: EAP ja ntlm_auth. if (updated) { #lisätään update control{ #lisätään Auth-Type -= ntlm_auth #lisätään } #lisätään } #lisätään } authenticate { Auth-Type PAP{ pap } Auth-Type MS-CHAP{ mschap } Auth-Type ntlm_auth{ #lisätään ntlm_auth #lisätään } #lisätään # Allow EAP authentication. eap } . . . |
Kun eduroam-inner-tunnel muokataan tällä tavalla, voidaan tukea myös PEAP-MSCHAPv2-, TTLS-MSCHAPv2- ja TTLS-EAP-MSCHAPv2-menetelmiä.
FreeRADIUS-palvelimen konfiguroinnin yhteydessä kannattaa myös tutustua sen omaan prosessointikieleen (FreeRADIUS Processing un-language). Tähän voidaan perehtyä palvelimen mukana tulevan ohjeen avulla, joka avataan kirjoittamalla komentoriville man unlang.
...
- Ainakin Samban versio 3.5.10-114(.el6.i686) toimii hyvin Windows 2008 R2:n kanssa.
- Jos on käytössä SELinux, saattaa olla, että lisäkonfigurointi on tarpeen.
- On huomattu, että winbind-demoni daemon saattaa välillä saattaa kaatua, ilmeisesti muistivuodon vuoksi. Ongelma voidaan kiertää käynnistämällä winbind uudestaan esim. kerran viikossa, jos winbindin päivittäminen ei auta.
...
authorize-lohkoon lisätään suffix-määritelmä realm-osuuden poistamiseksi sekä ldap-määritelmä. Ilman suffix-määritelmää tietokantahaku tullaan suorittamaan käyttäjälle kayttajatunnus@ldapdomain.fi:lle , mutta suffix-määritelmällä haku suoritetaan vain käyttäjälle kayttajatunnus.
...
Code Block | ||
---|---|---|
| ||
server eduroam { authorize { auth_log suffix group { eap { fail = 1 ok = return } ldap { fail = 1 ok = return } sql { fail = 1 ok = return } } } authenticate { . . . |
Tällöin ensimmäinen OK:ta n palauttava moduuli lopettaa autentikoinnin. Jos mikään moduuli ei palauta OK:ta, käyttäjälle palautetaan Access-Reject-vastaus.
...
PKI-ympäristöstä tarvitaan sen juurivarmenne (alla UniversityOfKaupunkiCA.crt), ja mahdollisesti FreeRADIUS-palvelimille myönnetyt palvelinvarmenteet, mikäli eduroamissa käytettyjä varmenteita ei haluta käyttää RADIUS-palvelimen tunnistamiseen.
Periaatteessa FreeRADIUSen FreeRADIUS-palvelimen pitäisi tunnistaa mitä EAP-metodia käytetään, mutta helpoimmalla pääsi pääsee kopioimalla uuden eap-instanssin (eap-tls) eap.conf:n loppuun:
...