Презентација
Download
Report
Transcript Презентација
Конфигурација на freeradius
eduroam Training
18.11.2010
Агенда
Инсталација и конфигурација на
freeradius
Конфигурација на eduroam Service provider
(Авторизација)
Конфигурација на eduroam Identity provider
(Автентификација)
Конфигурација на Access Point
Конфигурација на клиенти
18.11.2011
[email protected]
2
Identity vs. Service
Provider
Home institution = Identity Provider
• База за управување со идентитети
• Врши АВТЕНТИФИКАЦИЈА – Дали корисникот е
оној кој се претставува дека е?
Visited institution = Service Provider
• Ја нуди својата мрежна инфраструктура (e.g.
Access points, VLANS, пристап до интернет,
RADIUS сервери)
• Врши АВТОРИЗАЦИЈА – Каков мрежен пристап
треба да добие корисникот?
18.11.2011
[email protected]
3
Service Provider
(SP)
Конфигурација на RADIUS сервер
Конфигурација access point со SSID
eduroam
Конфигурација на supplicants
18.11.2011
[email protected]
4
freeradius
www.freeradius.org
Компајлирање и инсталација на
FreeRADIUS
• ./configure --sysconfdir=...
• make
• make install
Конфигурациските фајлови се наоѓаат
во
• $SYSCONFDIR/raddb/*
18.11.2011
[email protected]
5
Важни фајлови
clients.conf
proxy.conf
sites-enabled/eduroam
radiusd.conf
18.11.2011
[email protected]
6
clients.conf
Дефиниција на клиенти - уреди коишто
можат да праќаат request-и до серверот:
• Access points претставуваат клиенти за RADIUS серверот
• Останатите RADIUS сервери во хиерархијата се исто така
клиенти
Секој клиент е дефиниран со посебна
client { ... } структура
• Дефиницијата вклучува shared secret
18.11.2011
[email protected]
7
clients.conf
#Definicija na RADIUS klienti
(NAS, Access Point, itn.).
#localhost za testiranje
client localhost {
ipaddr = 127.0.0.1
secret = testing123
shortname
= localhost
nastype
= other
virtual_server = eduroam
}
18.11.2011
#access points so shared secrets
client __CLIENT_DESCRIPTIVE_NAME__{
ipaddr
= __CLIENT_IP_ADDR__
netmask
= 32
secret
= __SHARED_SECRET__
shortname = __CLIENT_SHORT_NAME__
nastype = other
virtual_server = eduroam
}
#uplink RADIUS server od
federacijata
client tld1.eduroam.mk {
ipaddr = 194.149.131.37
netmask = 32
secret =_SHARED_SECRET__
shortname = eduroam-tld1
nastype = other
virtual_server = eduroam
}
[email protected]
8
proxy.conf
Препраќање на request-и дo FLRs и
управување со realms
Рутирањето во eduroam се базира на
т.н. realms кои се одредуваат со @suffix
home_server, home_server_pool и realm
DEFAULT (во proxy.conf) + suffix модул
18.11.2011
[email protected]
9
proxy.conf
proxy server {
default_fallback = yes
}
home_server_pool EDUROAM-FTLR {
type = fail-over
home_server = tld1-eduroam-mk
}
#FTLR
home_server tld1-eduroam-mk {
type
= auth+acct
ipaddr = 194.149.131.37
port
= 1812
secret = __SHARED_SECRET__
response_window = 20
zombie_period = 40
revive_interval = 60
status_check = status-server
check_interval = 10
num_answers_to_alive = 3
}
18.11.2011
realm NULL {
nostrip
}
realm DEFAULT {
pool = EDUROAM-FTLR
nostrip
}
[email protected]
10
radiusd.conf
Референцира т.н. Виртуелни сервери
Виртуелниот сервер (eduroam) дефинира кои модули
се извршуваат за даден request
SP не врши автентификација, само ги препраќа
добиените пакети од клиентите до proxy серверите,
откако ќе ги испроцесира
realm suffix {
format = suffix
delimiter = "@"
}
18.11.2011
[email protected]
11
eduroam Виртуелен
сервер
server eduroam {
authorize {
auth_log
suffix
}
authenticate {
preacct {
suffix
}
}
post-auth {
reply_log
Post-Auth-Type
REJECT {
reply_log
}
}
18.11.2011
accounting {
}
pre-proxy {
pre_proxy_log
if (Packet-Type != AccountingRequest) {
attr_filter.pre-proxy
}
}
post-proxy {
attr_filter.post-proxy
post_proxy_log
}
}
[email protected]
12
Identity Provider
(IdP)
Identity Provider = Service Provider + :
• Сопствен realm (__institucija__.mk)
• EAP Endpoint - Неколку конфигурациски
промени во серверот
• База на корисници
18.11.2011
[email protected]
13
proxy.conf
сопствениот realm се
обработува локално
realm __INSTITUCIJA__.mk {
nostrip
}
18.11.2011
[email protected]
14
Виртуелен сервер
eduroam
EAP модулот се додава во authorize и
authenticate
authorize {
auth_log
suffix
if ((Proxy-To-Realm == DEFAULT) && (User-Name =~
/.*@.*.__INSTITUCIJA__.mk$/)){
update control {
Proxy-To-Realm := NULL
}
}
eap
}
authenticate {
eap
}
18.11.2011
[email protected]
15
eduroam-innertunnel
Внатрешна автентификација: нов
виртуелен сервер eduroam-inner-tunnel
authorize {
auth_log
files
mschap
pap
}
post-auth {
reply_log
Post-Auth-Type REJECT {
reply_log
}
}
18.11.2011
authenticate {
Auth-Type PAP{
pap
}
Auth-Type MS-CHAP{
mschap
}
}
[email protected]
16
eap.conf
дефинира:
• дозволени EAP методи
• Серверски сертификат
eap { ….
ttls {
default_eap_type = pap
copy_request_to_tunnel =
yes
use_tunneled_reply = yes
virtual_server = "eduroaminner-tunnel"
}
}
18.11.2011
peap {
default_eap_type = mschapv2
copy_request_to_tunnel =
yes
use_tunneled_reply = yes
virtual_server = "eduroaminner-tunnel"
}
[email protected]
17
Конфигурација на Access
Point
eduroam Training
18.11.2010
Конфигурација на
Access Point
SSID
Encryption
NTP
RADIUS uplink
IP адреса
18.11.2011
[email protected]
19
Конфигурација на
Access Point (dd-wrt)
Setup Basic Setup Time Settings
(конфедерациско побарување: сигурен
временски извор)
18.11.2011
[email protected]
20
Конфигурација на
Access Point (dd-wrt)
18.11.2011
[email protected]
21
Конфигурација на
Supplicants
eduroam Training
18.11.2010
DELL Wireless WLAN
Card Utility
18.11.2011
[email protected]
23
DELL Wireless WLAN
Card Utility
18.11.2011
[email protected]
24
DELL Wireless WLAN
Card Utility
18.11.2011
[email protected]
25
DELL Wireless WLAN
Card Utility
18.11.2011
[email protected]
26
Intel®
PROSet/Wireless
18.11.2011
[email protected]
27
Intel®
PROSet/Wireless
18.11.2011
[email protected]
28
Intel®
PROSet/Wireless
18.11.2011
[email protected]
29
SecureW2
Control Panel Network Connections Wireless Network
Connection
WPA2/AES или WPA/TKIP
* WPA patch за XP SP2
18.11.2011
[email protected]
30
SecureW2
18.11.2011
[email protected]
31
SecureW2
18.11.2011
[email protected]
32
SecureW2
18.11.2011
[email protected]
33
ПРАШАЊА?
[email protected]