eduroam training 18.11.2010 Конфигурација на freeradius
TRANSCRIPT
eduroam Training
18.11.2010
Конфигурација на freeradius
18.11.2011 [email protected] 2
Агенда
Инсталација и конфигурација на freeradius Конфигурација на eduroam Service provider
(Авторизација) Конфигурација на eduroam Identity provider
(Автентификација)
Конфигурација на Access PointКонфигурација на клиенти
18.11.2011 [email protected] 3
Identity vs. Service Provider
Home institution = Identity Provider
• База за управување со идентитети
• Врши АВТЕНТИФИКАЦИЈА – Дали корисникот е оној кој се претставува дека е?
Visited institution = Service Provider
• Ја нуди својата мрежна инфраструктура (e.g. Access points, VLANS, пристап до интернет, RADIUS сервери)
• Врши АВТОРИЗАЦИЈА – Каков мрежен пристап треба да добие корисникот?
18.11.2011 [email protected] 4
Service Provider (SP)
Конфигурација на RADIUS сервер
Конфигурација access point со SSID eduroam
Конфигурација на supplicants
18.11.2011 [email protected] 5
freeradius
www.freeradius.org
Компајлирање и инсталација на FreeRADIUS• ./configure --sysconfdir=... • make• make install
Конфигурациските фајлови се наоѓаат во• $SYSCONFDIR/raddb/*
18.11.2011 [email protected] 6
Важни фајлови
clients.conf proxy.confsites-enabled/eduroam radiusd.conf
18.11.2011 [email protected] 7
clients.conf
Дефиниција на клиенти - уреди коишто
можат да праќаат request-и до серверот:
• Access points претставуваат клиенти за RADIUS серверот
• Останатите RADIUS сервери во хиерархијата се исто така клиенти
Секој клиент е дефиниран со посебна client { ... } структура
• Дефиницијата вклучува shared secret
18.11.2011 [email protected] 8
clients.conf
#Definicija na RADIUS klienti (NAS, Access Point, itn.).
#localhost za testiranje
client localhost {ipaddr = 127.0.0.1secret = testing123shortname = localhostnastype = othervirtual_server = eduroam
}
#access points so shared secretsclient __CLIENT_DESCRIPTIVE_NAME__{ ipaddr = __CLIENT_IP_ADDR__ netmask = 32 secret = __SHARED_SECRET__ shortname = __CLIENT_SHORT_NAME__ nastype = other virtual_server = eduroam}
#uplink RADIUS server od federacijataclient tld1.eduroam.mk { ipaddr = 194.149.131.37 netmask = 32 secret =_SHARED_SECRET__ shortname = eduroam-tld1 nastype = other virtual_server = eduroam}
18.11.2011 [email protected] 9
proxy.conf
Препраќање на request-и дo FLRs и управување со realms
Рутирањето во eduroam се базира на т.н. realms кои се одредуваат со @suffix
home_server, home_server_pool и realm DEFAULT (во proxy.conf) + suffix модул
18.11.2011 [email protected] 10
proxy.conf
proxy server {default_fallback = yes
}
#FTLR
home_server tld1-eduroam-mk { type = auth+acct ipaddr = 194.149.131.37 port = 1812 secret = __SHARED_SECRET__ response_window = 20 zombie_period = 40 revive_interval = 60 status_check = status-server check_interval = 10 num_answers_to_alive = 3}
home_server_pool EDUROAM-FTLR { type = fail-over home_server = tld1-eduroam-mk}
realm NULL { nostrip
}
realm DEFAULT { pool = EDUROAM-FTLR nostrip}
18.11.2011 [email protected] 11
radiusd.conf
Референцира т.н. Виртуелни сервери
Виртуелниот сервер (eduroam) дефинира кои модули се извршуваат за даден request
SP не врши автентификација, само ги препраќа добиените пакети од клиентите до proxy серверите, откако ќе ги испроцесира
realm suffix {format = suffixdelimiter = "@"
}
18.11.2011 [email protected] 12
eduroam Виртуелен сервер
preacct { suffix}
accounting { }
pre-proxy { pre_proxy_log if (Packet-Type != Accounting-Request) { attr_filter.pre-proxy }}post-proxy { attr_filter.post-proxy post_proxy_log}
}
server eduroam { authorize {
auth_log suffix }
authenticate { }
post-auth { reply_log Post-Auth-Type REJECT { reply_log } }
18.11.2011 [email protected] 13
Identity Provider (IdP)
Identity Provider = Service Provider + :
• Сопствен realm (__institucija__.mk)
• EAP Endpoint - Неколку конфигурациски промени во серверот
• База на корисници
18.11.2011 [email protected] 14
proxy.conf
сопствениот realm се обработува локално
realm __INSTITUCIJA__.mk {
nostrip
}
18.11.2011 [email protected] 15
Виртуелен сервер eduroam
EAP модулот се додава во authorize и authenticate authorize { auth_log suffix if ((Proxy-To-Realm == DEFAULT) && (User-Name =~
/.*@.*.__INSTITUCIJA__.mk$/)){ update control {
Proxy-To-Realm := NULL }}eap
}
authenticate {eap
}
18.11.2011 [email protected] 16
eduroam-inner-tunnel
Внатрешна автентификација: нов виртуелен сервер eduroam-inner-tunnel
authorize { auth_log files mschap pap}
post-auth { reply_log Post-Auth-Type REJECT { reply_log }}
authenticate { Auth-Type PAP{ pap } Auth-Type MS-CHAP{ mschap }}
18.11.2011 [email protected] 17
eap.conf
дефинира: • дозволени EAP методи• Серверски сертификат
eap { ….ttls {
default_eap_type = papcopy_request_to_tunnel =
yesuse_tunneled_reply = yesvirtual_server = "eduroam-inner-tunnel"
}
peap {default_eap_type = mschapv2copy_request_to_tunnel =
yesuse_tunneled_reply = yesvirtual_server = "eduroam-inner-tunnel"
}
}
eduroam Training
18.11.2010
Конфигурација на Access Point
18.11.2011 [email protected] 19
Конфигурација на Access Point
SSIDEncryptionNTPRADIUS uplinkIP адреса
18.11.2011 [email protected] 20
Конфигурација на Access Point (dd-wrt)
Setup Basic Setup Time Settings
(конфедерациско побарување: сигурен временски извор)
eduroam Training
18.11.2010
Конфигурација на Supplicants
18.11.2011 [email protected] 30
SecureW2
Control Panel Network Connections Wireless Network Connection
WPA2/AES или WPA/TKIP
* WPA patch за XP SP2
