Bezpłatny Radius dla każdego

Tym razem chciałbym zająć się tematem darmowego Radiusa – a konkretnie tym, jak wykorzystać go do logowania się administratorów do architektury. Omawiany przykład opiera się na wykorzystaniu Mikrotika i oczywiście FreeRadiusa.

Topologia sieci

Na poniższym schemacie pokazuję, w jakim obszarze konkretnie będę działał.

Mamy tutaj FreeRadiusa z końcówką adresacji 1 (w sieci 10.140.1.0/24).
Konfiguruę dostęp administaracyjny na MT3-DC z końcówką adresacji 118 (w sieci 10.140.1.0/24).

Konfiguracje w formie video obejrzysz tutaj 🙂

Krok 1: Konfiguracja po stronie mikrotika

Przechodzę więc do MT3-DC.

Zaznaczamy, do czego będziemy go wykorzystywać – u mnie logowanie.
Dodajemy również adres 10.140.1.1…. Oczywiście hasło… Analogiczne trzeba będzie ustawić po stanie Radiusa.
Porty zostawię domyślne. Na port 1813 będą wysyłane informacje o sesji, natomiast prośba o uwierzytelnianie na port 1812.

Konieczne jest jeszcze wskazanie, że to Radius będzie miał być wykorzystywany w procesie. W tym celu wybiorę w menu bocznym System-Users i w zakładce Ustawienia AAA zaznaczę tą opcję.

Krok 2: Konfiguracja Radiusa

Zajmę się teraz konfiguracją informacji na temat użytkownika i samym urządzeniu.

sudo vim /etc/freeradius/3.0/clients.conf

client MT3-DC-DMZ {
ipaddr = 10.140.1.118
secret = netadminpro.pl
nas_type = other
}

W pliku Clients Radius przechowuje informacje o urządzeniach.

Z kolei w pliku Users dodam konkretnego użytkownika.

sudo vim /etc/freeradius/3.0/users

nap Cleartext-password := "netadminpro.pl"
Mikrotik-Group := "group-nap”

Z uwagi na to, że przypisałem tu grupę o nazwie group-nap a nie jest ona domyślna (jak full, read i write), to muszę ją dopiero stworzyć.

Weryfikacja działania i rozwiązywanie problemów

Po zasymulowaniu próby zalogowania się wyskoczył błąd autoryzacji.

Co w takiej sytuacji? Jak zweryfikować na czym polega problem?
Pomocne będą logi.

W pierwszej kolejności sprawdzam z jakiego adresu IP to zapytanie idzie. Druga sprawa to zgodność haseł.
Obie te rzeczy są w porządku…

Jednak to sama usługa Radius nie działa..
I akurat u mnie, w toku dalszej weryfikacji widzę, że problemem jest błąd składni w pliku Users (wielkość liter w atrybucie ma znaczenie! :))

Po poprawieniu tego i zrestartowaniu Radiusa wszystko jest ok.

systemctl restart freeradius.service

Po prawidłowym uwierzytelnieniu jako użytkownik nap, możemy jeszcze spojrzeć, jacy są aktywni i czy wszystkie atrybuty się zgadzają…

Ta weryfikacja kończy moje dzisiejsze zadanie. Wszystko działa zgodnie z założeniem.

Już dziś zapraszam na kolejny tydzień z kolejnym artykułem.
Jeśli jednak czujesz niedosyt i chciałbyś krok po kroku zobaczyć moje działania, zapraszam do filmu na You Tube (23T7 FreeRadius RouterOS Admin Access w 17 min. [konfiguracja Mikrotik]), który nagrałem przy okazji robienia tej konfiguracji – bez żadnych cięć! 😀