Tym razem chciałbym zająć się tematem darmowego Radiusa – a konkretnie tym, jak wykorzystać go do logowania się administratorów do architektury. Omawiany przykład opiera się na wykorzystaniu Mikrotika i oczywiście FreeRadiusa.
Topologia sieci
Na poniższym schemacie pokazuję, w jakim obszarze konkretnie będę działał.
Mamy tutaj FreeRadiusa z końcówką adresacji 1 (w sieci 10.140.1.0/24).
Konfiguruę dostęp administaracyjny na MT3-DC z końcówką adresacji 118 (w sieci 10.140.1.0/24).
Konfiguracje w formie video obejrzysz tutaj 🙂
Krok 1: Konfiguracja po stronie mikrotika
Przechodzę więc do MT3-DC.
Zaznaczamy, do czego będziemy go wykorzystywać – u mnie logowanie.
Dodajemy również adres 10.140.1.1…. Oczywiście hasło… Analogiczne trzeba będzie ustawić po stanie Radiusa.
Porty zostawię domyślne. Na port 1813 będą wysyłane informacje o sesji, natomiast prośba o uwierzytelnianie na port 1812.
Konieczne jest jeszcze wskazanie, że to Radius będzie miał być wykorzystywany w procesie. W tym celu wybiorę w menu bocznym System-Users i w zakładce Ustawienia AAA zaznaczę tą opcję.
Krok 2: Konfiguracja Radiusa
Zajmę się teraz konfiguracją informacji na temat użytkownika i samym urządzeniu.
sudo vim /etc/freeradius/3.0/clients.conf
client MT3-DC-DMZ {
ipaddr = 10.140.1.118
secret = netadminpro.pl
nas_type = other
}
W pliku Clients Radius przechowuje informacje o urządzeniach.
Z kolei w pliku Users dodam konkretnego użytkownika.
sudo vim /etc/freeradius/3.0/users
nap Cleartext-password := "netadminpro.pl"
Mikrotik-Group := "group-nap”
Z uwagi na to, że przypisałem tu grupę o nazwie group-nap a nie jest ona domyślna (jak full, read i write), to muszę ją dopiero stworzyć.
Weryfikacja działania i rozwiązywanie problemów
Po zasymulowaniu próby zalogowania się wyskoczył błąd autoryzacji.
Co w takiej sytuacji? Jak zweryfikować na czym polega problem?
Pomocne będą logi.
W pierwszej kolejności sprawdzam z jakiego adresu IP to zapytanie idzie. Druga sprawa to zgodność haseł.
Obie te rzeczy są w porządku…
Jednak to sama usługa Radius nie działa..
I akurat u mnie, w toku dalszej weryfikacji widzę, że problemem jest błąd składni w pliku Users (wielkość liter w atrybucie ma znaczenie! :))
Po poprawieniu tego i zrestartowaniu Radiusa wszystko jest ok.
systemctl restart freeradius.service
Po prawidłowym uwierzytelnieniu jako użytkownik nap, możemy jeszcze spojrzeć, jacy są aktywni i czy wszystkie atrybuty się zgadzają…
Ta weryfikacja kończy moje dzisiejsze zadanie. Wszystko działa zgodnie z założeniem.
Już dziś zapraszam na kolejny tydzień z kolejnym artykułem.
Jeśli jednak czujesz niedosyt i chciałbyś krok po kroku zobaczyć moje działania, zapraszam do filmu na You Tube (23T7 FreeRadius RouterOS Admin Access w 17 min. [konfiguracja Mikrotik]), który nagrałem przy okazji robienia tej konfiguracji – bez żadnych cięć! 😀