Bezpečnosti není nikdy dost a tak i omezení přístupu k interní LAN nebo WLAN je vždy vítano. Aby switch mohl ověřit supplicant = žadatele o přístup do sítě, musí být nakonfigurován tak, aby se zeptal FreeRADIUS serveru, který se přeptá Active directory, zda-li daný uřivatel může být připojen k danému portu switche. Takto je to velmi jednoduše popsáno, ale tak to zjednodušeně je. Zaklínadlem je standard 802.1X, který je implementovan ve většině síťových zařízeních, jako jsou switche a wi-fi acess point.
Dobře popsaný návod se nachází na wiki freeradiusu. Radius server vyžaduje bezplatnou instalaci FreeRADIUS serveru a Samby.
Ubuntu:
apt-get install freeradius
apt-get install winbind
FreeBSD:
portinstall freeradius2
portinstall samba34
U samby postačí winbind, smbd a nmbd není třeba. Samba se musí přihlásit do Win domény.
Pokud máme vše správně nastavené, ověříme, zda nám samba ověží uživatele.
ntlm_auth --request-nt-key --domain=WINDOM --username=smejdil
password:
NT_STATUS_OK: Success (0x0)
V návodu je popsána konfigurace kerberosu, kterou jsem nedělal a ntlm_auth mi ověřuje, tak asi není třeba.
Pokud máme poladěný freeradius, můžeme testovat funkčnost ověřování.
radtest smejdil 123456abcd server-radius 1813 testing123
Sending Access-Request of id 14 to 192.168.0.10 port 1812
User-Name = „smejdil”
User-Password = „123456abcd”
NAS-IP-Address = 192.168.0.20
NAS-Port = 1813
rad_recv: Access-Accept packet from host 192.168.0.10 port 1812, id=14, length=20
Dále jsem nastavil radius server v HP ProCurve switchi, ale jen nastavil. Nastavení portů atd prozatím musí počkat.
hp-sw# configure
hp-sw(config)# radius-server host 192.168.0.10
hp-sw(config)# radius-server key 123456abcd
hp-sw(config)# show radius
hp-sw(config)# write memory
Status and Counters - General RADIUS Information
Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key : 123456abcd
Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- --------------------------------
192.168.0.10 1812 1813
Dále bude následovat. Ale to až zase jindy. Dále musím vyzkoušet FreeRADIUS s OpenLDAPem.
hp-sw(config)# aaa port-access
Charitativní orientační závod MTB
-
Závod se koná 4.10.2024, start 15:00 v Černé Vodě, startovné dobrovolné
500,- na učet 11559889/5500
před 2 dny
Žádné komentáře:
Okomentovat