Uwierzytelnianie RADIUS Ubuntu [Konfiguracja Fortigate]

Wstęp

Serwer RADIUS (Remote Authentication Dial-In User Service) jest stosowany do autoryzacji, uwierzytelniania i rozliczania użytkowników zdalnego dostępu jak i z sieci LAN. Pozwala na zapobieganiu nieautoryzowanemu dostępowi do sieci przez osoby niepożądane.

Takie rozwiązanie posiada też linux ubuntu o nazwie FREERADIUS. Posiada podstawowe elementy wchodzące w skład usługi radius.

Konfigurację video obejrzysz TUTAJ.

Wstęp
Zaktualizowanie i pobranie usługi Freeradius
Konfiguracja pliku clients.conf
Konfiguracja pliku users
Włączenie usługi Freeradius
Stworzenie profilu RADIUS na Fortigate
Zdefiniowanie grupy
Zdefiniowanie reguły na firewallu
Test konfiguracji

Topologia jakiej użyję

Konfiguracja RADIUS

Najpierw skonfigurujemy serwer uwierzytelniania. Logujemy się na naszego linuxa na koncie root i pierwszym krokiem będzie aktualizacja pakietów. Używamy polecenia apt-get update

Możemy teraz zainstalować usługę freeradius. Używamy polecenia apt install freeradius

Zdefiniujemy teraz Fortigate’a i hosta, który będzie uwierzytelniany. Używamy polecenia nano /etc/freeradius/3.0/clients.conf

Zjeżdżamy na sam dół i dodajemy linijki:

client Fortigate {
ipaddr =10.10.10.1 – adres Fortigate z podsieci, w której znajduje się radius
secret = test123 – klucz uwierzytelniania, będziemy go potem używać
proto = * – port na jakim ma być komunikacja, 1812 oznacza uwierzytelnianie, 1813 inne operacje na radiusie. Wybierając “*” oznajmiamy, że bierzemy pod uwagę wszystkie porty
}
client klient{
ipaddr = 20.20.20.10 – adres hosta uwierzytelnianego
secret = test123
proto = *
}

Należy pamiętać o tabulacji, gdyż w linuxie złe użycie może spowodować niedziałanie serwisu.

Zapisujemy CTRL + S oraz wychodzimy CTRL + X

Zdefiniujemy teraz dane użytkownika. Używamy komendy nano /etc/freeradiu/3.0/users

Przechodzimy na sam dół i dodajemy polecenie

<nazwa użytkownika> Cleartext-Password := “hasło”

Zapisujemy CTRL + S oraz wychodzimy CTRL + X

Włączamy teraz usługę i zobaczymy jej status. Używamy polecenia systemctl start freeradius oraz systemctl status freeradius

Active (running) oznacza, że wszystko działa

Przechodzimy teraz na Fortigate. Zdefiniujemy serwer RADIUS, przechodzimy do zakładki User & Authentication > RADIUS Servers, klikamy “Create New” i uzupełniamy pola

name: nazwa profilu

IP/Name: adres serwera

Secret: wcześniej zdefiniowany klucz uwierzytelniania

Klikając “Test Connectivity” powinien ukazać się nam komunikat Successful – oznacza że jest połączenie z serwerem

Klikamy “Test User Credentials” i podajemy login i hasło wcześniej zdefiniowanego użytkownika

Teraz zdefiniujemy grupę użytkowników. Przechodzimy do zakładki User & Authentication > User Groups, klikamy “Create New” i uzupełniamy pola

name: nazwa grupy

Type: Firewall

Remote Groups: wcześniej utworzony profil

Ostatnią rzeczą będzie zdefiniowanie reguły pozwalającej na ruch z komputera uwierzytelnianego do serwera RADIUS. Przechodzimy do zakładki Policy & Objects > Firewall Policy, klikamy “Create New” i uzupełniamy pola

name: nazwa reguły

Incoming interface: podajemy interfejs od strony komputera LAN

Outgoing interface: podajemy intefejs od strony serwera RADIUS

Source: all

Destination: all

Service: all

Odznaczamy pole NAT

Test konfiguracji

Logujemy się na komputer z sieci LAN i testujemy połączenie np. za pomocą programu do uwierzytelniania (ja użyję NTRadPing)

Wpisujemy w odpowiednie pola adres serwera, port, login, hasło i klucz uwierzytelniania

Widzimy, że uwierzytelnianie powiodło się