|

23T3 Instalacja FreeRadius na Linuxie w 12 min.

Instalacja FreeRadius

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:23 Topologia

1:36 Sprawdzenie czy Usługa Działa

2:56 Konfiguracja Użytkownika

4:05 Klient

9:43 Zmiana Konfiguracji

Transkrypcja

Cześć. Witam Cię w dzisiejszym odcinku. Dzisiaj pokażę jak można łatwo szybko i sprawnie zainstalować FreeRadiusa na systemie Linuxowym. Ja akurat użyje Ubuntu ale może być to dowolny Linux jaki preferujesz. Konfiguracja Free Radiusa.

To zacznijmy od topologii jaką tutaj mam. Mam Data Center, dodałem do EVE-NG Linuxowy system. Dodałem również kolejny Linuxowy system Ubuntu jako klienta z którego będę testował zapytania Radiusowe. FreeRadius stoi na Debianie 10, Ubuntu Desktop jako klient. A teraz podłączę się zdalnie do obu systemów czyli FreeRadius z końcówką 1 w sieci 10.140.1.0 a Ubuntu Desktop z końcówką 201. Jeżeli chodzi o kroki poszczególne to na systemie Linuxowym na którym chcemy zainstalować FreeRadiusa trzeba zainstalować poleceniem apt-get Install FreeRadius. Tym poleceniem trzeba zainstalować pakiet na systemie Linuxowym, jeżeli masz Debiana to tak to wygląda. Jeżeli będziesz miał inny system to polecenie będzie podobne ale nieco inne.

Ja już mam ten pakiet zainstalowany więc nie będę go teraz instalował. To jest pierwszy krok. Kolejny krok to jest po zainstalowaniu sprawdzenie że nam usługa działa. Czyli system -> status -> FreeRadius.service. No i widzimy, że nam serwis pracuje właściwie, jest podniesiony czyli możemy iść dalej. Żeby można było obsłużyć zapytanie Radiusowe z klienta to najpierw trzeba na systemie Radiusowym tego klienta skonfigurować i powiedzieć z jakiego adresu IP oczekujemy zapytanie jakie współdzielone hasło będzie pomiędzy tymi systemami. Żeby to zrobić to jest jest polecenie vim/etc/freeradius/3.0/clients.conf czyli clients.conf. Ten plik. W tym pliku przechodzimy do części z klientami w najprostszej konfiguracji, którą dzisiaj robimy będziemy konfigurować zgodnie z przykładem klienta Ubuntu u mnie to jest nazwa po prostu. To co musimy dodać to IP adress albo sieć. Może tu być sieć z maską z którego będzie przychodziło zapytanie. To jest ważne. No i kluczowe jest to hasło czyli w moim przypadku netadminpro.pl. Te dwie rzeczy muszą być wykonane.

Kolejnym krokiem będzie konfiguracja użytkownika czyli ta sama ścieżka etc.freeradius/3.0/users i edytujemy w miejscu komentarza, który jest opisany przykładowym użytkownikiem. U mnie użytkownik to nap a hasło to będzie netadminpro.pl Takie samo hasło użyłem w przypadku użytkownika jak i w przypadku urządzenia ale te hasła oczywiście mogą być różne. Nie ma tu żadnego problemu. Jeżeli prowadzisz modyfikacje konfiguracji to należy zrestartować servis po każdej zmianie pliku konfiguracyjnego, tak, żeby ta zmiana została uwzględniona. Czyli polecenie będzie systemctl restart freeradius.service. No dobra, to jeżeli chodzi o konfiguracje to w zasadzie w bardzo postronnym zakresie to jest wszystko co musisz zrobić, żeby w takim najbardziej podstawowym formacie uruchomić FreeRadiusa i obsługiwać zapytania.

Teraz przejdę do mojego klienta i na kliencie wykonujemy zapytanie wg wzoru. Czyli radtest to jest aplikacja do testowania, nap to będzie nazwa użytkownika, netadminpro.pl to jest hasło tego użytkownika a następnie mamy informacje z jakiego czy do jakiego adresu IP będziemy to zapytanie wysyłać bo jesteśmy teraz na kliencie więc to będzie adres IP mojego serwera Radius z końcówka 1. Tutaj jest numer portu to 0 to jest numerem portu. Jeżeli wpiszesz tu 0 to oznacza, że domyślny port wykorzystujesz czyli 18.12. Jeżeli chcesz użyć innego w tym zapytaniu portu na serwerze to oczywiście możesz tutaj wpisać ale musisz odpowiednio skonfigurować port na którym będzie nasłuchiwała usługa Radius Serwer. No i na końcu jest hasło związane z hasłem współdzielonym pomiędzy urządzeniem NAD czyli Network Access Devices a naszym serwerem Radius. W przypadku tego testu tutaj nie ma w zasadzie tego rozgraniczenia czyli jednocześnie użytkownik i urządzenie idzie z tego samego systemu natomiast w takiej realnej sytuacji jest tak, że użytkownik jest podłączony do jakiegoś punktu dostępowego albo przełącznika i podaje swoje dane tutaj w tej pierwszej części, którą teraz zaznaczę może na zielono czyli podaje to w części tylko użytkownik i hasło.

Oczywiście musi tam skonfigurować jeszcze metodę ale to już nie wnikajmy może tam na tym etapie bardzo szczegółowo i oprócz tego mamy konfigurację urządzenia sieciowego -niech to będzie na żółto, które ma zapisane jaki adres IP jest serwera Radiusowego oraz jakie jest hasło współdzielone żeby się z tym serwerem Radiusowym połączyć. Czyli to są rzeczy, które są konieczne jako minimalne do tego, żeby w ramach protokołu Radius się skomunikować.

No to sprawdźmy jak wygląda teraz nasza komunikacja i test. A więc widać, że test został wykonany. Może najpierw zajmijmy się zapytaniem. Czyli mamy tutaj request. Widać, że to jest request. Ma jakieś ID swoje. Przychodzi z jakiegoś adresu IP do jakiegoś adresu IP i tutaj widać, że z dowolnego adresu czyli nie ma tutaj ograniczenia, może przyjść z dowolnego adresu to zapytanie. Przynajmniej od strony klienta, który wysyła i idzie do adresu IP serwera na port 18.12 bo taki port jest domyślnie używany jako Radius. Czyli takie zapytanie jest wysyłane. Co tutaj dalej widzimy? Jest tutaj również nazwa użytkownika, który się próbuje uwierzytelnić, czyli NAP. Jest hasło tego użytkownika podane czyli netadminpro.pl i co tutaj jeszcze mamy. Hasło z tego zapytania i to jest hasło, które jest związane z urządzeniem, które może odpytywać system Radius. Czyli przełącznik Access Point najczęściej to jest hasło, które jest właśnie związane z tym urządzeniem sieciowym pośredniczącym. Czyli mamy hasła związane, i login z użytkownikiem i z urządzeniem, z Access Pointem, ze switchem.

Tak wygląda zapytanie, natomiast odpowiedź jest bardzo prosta. Jak widzisz odpowiedź jest tutaj, czyli odpowiedź jest, że otrzymano odpowiedź accept. Access accept. To jest nazwa atrybutu, który standardowo jest zwracany przez Radiusa i jeżeli użytkownik istnieje w systemie Radius I może być zweryfikowany poprawnie jako użytkownik prawidłowy. Jest tutaj również informacja zauważ, z jakiego adresu IP przyszła odpowiedź. To jest adres IP naszego serwera Radius i do jakiego adresu IP przyszła ta odpowiedź, czyli do naszego klienta z końcówka 201. To teraz na chwilę przełączę, żebyś zobaczył te adresy jeszcze. Czyli mamy tutaj adres Free Radiusa z końcówką 1 i Ubuntu Desktop z końcówką 201.

Wszystko się zgadza z naszą koncepcją. Możemy jeszcze sprawdzić w logach Radiusa jak wygląda rejestracja takiego zapytania. Będzie var/log/freeradius/radius.log czyli to jest możliwość zapytania i sprawdzenia logów. To co nas tutaj interesuje to oczywiście końcówka. Nie, tutaj jednak nie będziemy widzieć tych logów. Zobaczmy czy w innym miejscu będziemy widzieć. Domyślnie nie są logowani użytkownicy ale spróbujmy teraz zmienić tą konfigurację. W sekcji authentication – tu trzeba zmienić na yes. I tu możemy jeszcze ewentualnie logować hasła jeżeli chcemy ale ja narazie nie mam takiej potrzeby więc tylko zmienię, że będę logował użytkowników. Dobra, zapisałem. Teraz trzeba zrestartować usługę.

Spróbujmy jeszcze raz się zalogować i zobaczyć w logu czy się nam coś pojawi. No i mamy bardzo bym powiedział szczątkowy login ale możemy pewnie tutaj zwiększać sobie ilość tych danych, które chcemy oglądać. Mamy też mało atrybutów narazie, żeby móc dużo więcej zalogować bo tak naprawdę mamy tylko użytkownika i hasło, które używamy. Mogłaby tu być jeszcze ewentualnie informacja o urządzeniu ale też narazie w tym teście w zasadzie symulujemy urządzenie sieciowe, które takie zapytania przekazuje do Radiusa. W związku z tym widzimy, że w tym logu możemy sobie pewne rzeczy z uwierzytelnieniem użytkowników również oglądnąć.

Nie jest to najlepsza metoda docelowo oczywiście warto rozważyć graficzny interfejs, zamierzam też pokazać jak to sobie przygotować. Narazie bardzo podstawowa konfiguracja, tak, żeby można było uruchomić i uwierzytelniać. Sprawdzić po prostu, że ten serwer działa. Kolejne kroki będziemy robić w kolejnych odcinkach. No i jak widzisz sytuacja nie jest skomplikowana, łatwo sobie taki system postawić i jednocześnie jak wykorzystać jako centralny system uwierzytelniania czy to administracyjnego czy do naszej sieci to będę pokazywał w kolejnych odcinkach także na dzisiaj Ci dziękuje i do usłyszenia już za tydzień.


Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *