Bezpłatny Radius dla każdego

Tym razem chciałbym zająć się tematem darmowego Radiusa – a konkretnie tym, jak wykorzystać go do logowania się administratorów do architektury. Omawiany przykład opiera się na wykorzystaniu Mikrotika i oczywiście FreeRadiusa.

Topologia sieci

Na poniższym schemacie pokazuję, w jakim obszarze konkretnie będę działał.

Topologia sieci

Mamy tutaj FreeRadiusa z końcówką adresacji 1 (w sieci 10.140.1.0/24).
Konfiguruę dostęp administaracyjny na MT3-DC z końcówką adresacji 118 (w sieci 10.140.1.0/24).

Konfiguracje w formie video obejrzysz tutaj 🙂

Krok 1: Konfiguracja po stronie mikrotika

Przechodzę więc do MT3-DC.

MT3-DC i dodawanie nowego serwera

Zaznaczamy, do czego będziemy go wykorzystywać – u mnie logowanie.
Dodajemy również adres 10.140.1.1…. Oczywiście hasło… Analogiczne trzeba będzie ustawić po stanie Radiusa.
Porty zostawię domyślne. Na port 1813 będą wysyłane informacje o sesji, natomiast prośba o uwierzytelnianie na port 1812.

Ustawienia na MT3-DC
Nowo dodany radius

Konieczne jest jeszcze wskazanie, że to Radius będzie miał być wykorzystywany w procesie. W tym celu wybiorę w menu bocznym System-Users i w zakładce Ustawienia AAA zaznaczę tą opcję.

Ustawienia AAA

Krok 2: Konfiguracja Radiusa

Zajmę się teraz konfiguracją informacji na temat użytkownika i samym urządzeniu.

sudo vim /etc/freeradius/3.0/clients.conf
client MT3-DC-DMZ {
ipaddr = 10.140.1.118
secret = netadminpro.pl
nas_type = other
}

W pliku Clients Radius przechowuje informacje o urządzeniach.

Nowy klient na Radiusie

Z kolei w pliku Users dodam konkretnego użytkownika.

sudo vim /etc/freeradius/3.0/users

nap Cleartext-password := "netadminpro.pl"
Mikrotik-Group := "group-nap”
Nowy użytkownik na Radiusie

Z uwagi na to, że przypisałem tu grupę o nazwie group-nap a nie jest ona domyślna (jak full, read i write), to muszę ją dopiero stworzyć.

Grupy domyślne
Opcje nowej grupy
Nowo utworzona grupa

Weryfikacja działania i rozwiązywanie problemów

Po zasymulowaniu próby zalogowania się wyskoczył błąd autoryzacji.

Co w takiej sytuacji? Jak zweryfikować na czym polega problem?
Pomocne będą logi.

Błąd autoryzacji

W pierwszej kolejności sprawdzam z jakiego adresu IP to zapytanie idzie. Druga sprawa to zgodność haseł.
Obie te rzeczy są w porządku…

Jednak to sama usługa Radius nie działa..
I akurat u mnie, w toku dalszej weryfikacji widzę, że problemem jest błąd składni w pliku Users (wielkość liter w atrybucie ma znaczenie! :))

Jednak wielkość ma znaczenie 🙂

Po poprawieniu tego i zrestartowaniu Radiusa wszystko jest ok.

systemctl restart freeradius.service

Po prawidłowym uwierzytelnieniu jako użytkownik nap, możemy jeszcze spojrzeć, jacy są aktywni i czy wszystkie atrybuty się zgadzają…

Aktywni użytkownicy

Ta weryfikacja kończy moje dzisiejsze zadanie. Wszystko działa zgodnie z założeniem.

Już dziś zapraszam na kolejny tydzień z kolejnym artykułem.
Jeśli jednak czujesz niedosyt i chciałbyś krok po kroku zobaczyć moje działania, zapraszam do filmu na You Tube (23T7 FreeRadius RouterOS Admin Access w 17 min. [konfiguracja Mikrotik]), który nagrałem przy okazji robienia tej konfiguracji – bez żadnych cięć! 😀


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.