Uwierzytelnianie RADIUS Ubuntu [Konfiguracja Fortigate]
Wstęp
Serwer RADIUS (Remote Authentication Dial-In User Service) jest stosowany do autoryzacji, uwierzytelniania i rozliczania użytkowników zdalnego dostępu jak i z sieci LAN. Pozwala na zapobieganiu nieautoryzowanemu dostępowi do sieci przez osoby niepożądane.
Takie rozwiązanie posiada też linux ubuntu o nazwie FREERADIUS. Posiada podstawowe elementy wchodzące w skład usługi radius.
Konfigurację video obejrzysz TUTAJ.
Wstęp
Zaktualizowanie i pobranie usługi Freeradius
Konfiguracja pliku clients.conf
Konfiguracja pliku users
Włączenie usługi Freeradius
Stworzenie profilu RADIUS na Fortigate
Zdefiniowanie grupy
Zdefiniowanie reguły na firewallu
Test konfiguracji
Topologia jakiej użyję
Konfiguracja RADIUS
Najpierw skonfigurujemy serwer uwierzytelniania. Logujemy się na naszego linuxa na koncie root i pierwszym krokiem będzie aktualizacja pakietów. Używamy polecenia apt-get update
Możemy teraz zainstalować usługę freeradius. Używamy polecenia apt install freeradius
Zdefiniujemy teraz Fortigate’a i hosta, który będzie uwierzytelniany. Używamy polecenia nano /etc/freeradius/3.0/clients.conf
Zjeżdżamy na sam dół i dodajemy linijki:
client Fortigate {
ipaddr =10.10.10.1 – adres Fortigate z podsieci, w której znajduje się radius
secret = test123 – klucz uwierzytelniania, będziemy go potem używać
proto = * – port na jakim ma być komunikacja, 1812 oznacza uwierzytelnianie, 1813 inne operacje na radiusie. Wybierając „*” oznajmiamy, że bierzemy pod uwagę wszystkie porty
}
client klient{
ipaddr = 20.20.20.10 – adres hosta uwierzytelnianego
secret = test123
proto = *
}
Należy pamiętać o tabulacji, gdyż w linuxie złe użycie może spowodować niedziałanie serwisu.
Zapisujemy CTRL + S oraz wychodzimy CTRL + X
Zdefiniujemy teraz dane użytkownika. Używamy komendy nano /etc/freeradiu/3.0/users
Przechodzimy na sam dół i dodajemy polecenie
<nazwa użytkownika> Cleartext-Password := „hasło”
Zapisujemy CTRL + S oraz wychodzimy CTRL + X
Włączamy teraz usługę i zobaczymy jej status. Używamy polecenia systemctl start freeradius oraz systemctl status freeradius
Active (running) oznacza, że wszystko działa
Przechodzimy teraz na Fortigate. Zdefiniujemy serwer RADIUS, przechodzimy do zakładki User & Authentication > RADIUS Servers, klikamy „Create New” i uzupełniamy pola
name: nazwa profilu
IP/Name: adres serwera
Secret: wcześniej zdefiniowany klucz uwierzytelniania
Klikając „Test Connectivity” powinien ukazać się nam komunikat Successful – oznacza że jest połączenie z serwerem
Klikamy „Test User Credentials” i podajemy login i hasło wcześniej zdefiniowanego użytkownika
Teraz zdefiniujemy grupę użytkowników. Przechodzimy do zakładki User & Authentication > User Groups, klikamy „Create New” i uzupełniamy pola
name: nazwa grupy
Type: Firewall
Remote Groups: wcześniej utworzony profil
Ostatnią rzeczą będzie zdefiniowanie reguły pozwalającej na ruch z komputera uwierzytelnianego do serwera RADIUS. Przechodzimy do zakładki Policy & Objects > Firewall Policy, klikamy „Create New” i uzupełniamy pola
name: nazwa reguły
Incoming interface: podajemy interfejs od strony komputera LAN
Outgoing interface: podajemy intefejs od strony serwera RADIUS
Source: all
Destination: all
Service: all
Odznaczamy pole NAT
Test konfiguracji
Logujemy się na komputer z sieci LAN i testujemy połączenie np. za pomocą programu do uwierzytelniania (ja użyję NTRadPing)
Wpisujemy w odpowiednie pola adres serwera, port, login, hasło i klucz uwierzytelniania
Widzimy, że uwierzytelnianie powiodło się