pátek 18. června 2010

FreeRADIUS - Active Directory - HP ProCurve Switch - 802.1X

Bezpečnosti není nikdy dost a tak i omezení přístupu k interní LAN nebo WLAN je vždy vítano. Aby switch mohl ověřit supplicant = žadatele o přístup do sítě, musí být nakonfigurován tak, aby se zeptal FreeRADIUS serveru, který se přeptá Active directory, zda-li daný uřivatel může být připojen k danému portu switche. Takto je to velmi jednoduše popsáno, ale tak to zjednodušeně je. Zaklínadlem je standard 802.1X, který je implementovan ve většině síťových zařízeních, jako jsou switche a wi-fi acess point.

Dobře popsaný návod se nachází na wiki freeradiusu. Radius server vyžaduje bezplatnou instalaci FreeRADIUS serveru a Samby.

Ubuntu:
apt-get install freeradius
apt-get install winbind

FreeBSD:
portinstall freeradius2
portinstall samba34

U samby postačí winbind, smbd a nmbd není třeba. Samba se musí přihlásit do Win domény.

Pokud máme vše správně nastavené, ověříme, zda nám samba ověží uživatele.

ntlm_auth --request-nt-key --domain=WINDOM --username=smejdil
password:
NT_STATUS_OK: Success (0x0)

V návodu je popsána konfigurace kerberosu, kterou jsem nedělal a ntlm_auth mi ověřuje, tak asi není třeba.

Pokud máme poladěný freeradius, můžeme testovat funkčnost ověřování.

radtest smejdil 123456abcd server-radius 1813 testing123
Sending Access-Request of id 14 to
192.168.0.10 port 1812
User-Name = „smejdil”
User-Password = „123456abcd”
NAS-IP-Address = 192.168.0.20
NAS-Port = 1813
rad_recv: Access-Accept packet from host 192.168.0.10 port 1812, id=14, length=20

Dále jsem nastavil radius server v HP ProCurve switchi, ale jen nastavil. Nastavení portů atd prozatím musí počkat.

hp-sw# configure
hp-sw(config)# radius-server host
192.168.0.10
hp-sw(config)# radius-server key 123456abcd
hp-sw(config)# show radius
hp-sw(config)# write memory

Status and Counters - General RADIUS Information

Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key :
123456abcd

Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- --------------------------------
192.168.0.10 1812 1813

Dále bude následovat. Ale to až zase jindy. Dále musím vyzkoušet FreeRADIUS s OpenLDAPem.

hp-sw(config)# aaa port-access

Žádné komentáře: