Revision history for FreeRadius


Revision [697]

Last edited on 2009-03-10 13:57:21 by JeMartins
Additions:
=====Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi utilizando PAM=====
Deletions:
=====Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi utilizando uma base de usuários NIS=====


Revision [537]

Edited on 2009-01-31 16:31:23 by FelippeBeaklini
Additions:
Mas você deve estar se perguntando: "PAP? Mas PAP não tem criptografia!", é nessa hora que entra o TTLS, ou "Tunneled Transport Layer Security", que cria um tunel criptográfico entre o servidor Radius e o cliente, não deixando que a senha seja transportada em texto claro.
Deletions:
Mas você deve estar se perguntando: "PAP? Mas PAP não tem criptografia!", nesse hora que entra o TTLS, ou "Tunneled Transport Layer Security", que cria um tunel criptográfico entre o servidor Radius e o cliente, não deixando que a senha seja transportada em texto claro.


Revision [524]

Edited on 2009-01-30 10:57:21 by FelippeBeaklini
Additions:
======Em Construção!======
Deletions:
======não está pronto!======


Revision [523]

Edited on 2009-01-30 10:50:47 by FelippeBeaklini
Additions:
Eu estava tendo sérios problemas para entender que protocolo usar com usuários NIS, até que postei um email na lista oficial do FreeRADIUS, e recebi como resposta essa tabela. Foi simplesmente a melhor resposta que eu poderia obter =) Com ela fica bem claro que protocolo podemos usar, com cada tipo de hash.
Mas você deve estar se perguntando: "PAP? Mas PAP não tem criptografia!", nesse hora que entra o TTLS, ou "Tunneled Transport Layer Security", que cria um tunel criptográfico entre o servidor Radius e o cliente, não deixando que a senha seja transportada em texto claro.
Deletions:
Eu estava tendo sérios problemas para entender que protocolo usar com usuários NIS, até que postei um email na lista oficial do FreeRADIUS, e recebi como resposta essa tabela. Foi simplesmente a melhor resposta que eu poderia obter =) Com ela fica bem claro que protocolo podemos usar, com cada hash.
Mas você deve estar se perguntando: "PAP? Mas PAP não tem criptografia!", nesse hora que entra o TTLS, ou "Tunneled Transport Layer Security", que cria um tunel criptográfico entra o servidor radius e o cliente, não deixando que a senha seja transportada em texto plano.


Revision [522]

Edited on 2009-01-30 10:47:48 by FelippeBeaklini
Additions:
====Entenda a relação Protocolo em Uso X Tipo de Criptografia (ou hash) Suportado====
Deletions:
====Entenda a relação Protocolo em Uso X Tipo de Criptografia (ou hash)====


Revision [521]

Edited on 2009-01-30 10:47:07 by FelippeBeaklini
Additions:
A figura mostra um pedaço de um //screenshot// da janela de configuração de um roteador wifi DLINK DI-524, mas as opções não devem variar muito entre os roteadores semelhantes
Salve as configurações e pronto. Assim, todas as solicitações de associação (conexão) que o roteador receber, serão automaticamente repassadas para a autenticação no servidor RADIUS.
====Entenda a relação Protocolo em Uso X Tipo de Criptografia (ou hash)====
Deletions:
A figura mostra um pedaço de um //screenshot// da janela de configuração do meu roteador wifi DLINK DI-524, mas as opções não devem variar muito entre os roteadores semelhantes
Salve as configurações e pronto. Assim, todas as tentativas de associação (conexão) que ele receber, automaticamente repassará a autenticação para o servidor RADIUS.
====Entendo que protocolo usar X Tipo de criptografia (ou hash)====


Revision [520]

Edited on 2009-01-30 07:45:59 by FelippeBeaklini
Additions:
A figura mostra um pedaço de um //screenshot// da janela de configuração do meu roteador wifi DLINK DI-524, mas as opções não devem variar muito entre os roteadores semelhantes
Deletions:
Esse é um pedaço de um screenshot da janela de configuração do meu AP DLINK DI-524, mas as opções não devem variar muito entre os APs


Revision [517]

Edited on 2009-01-29 15:29:05 by FelippeBeaklini
Additions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel. Use o gerenciador de pacotes da sua distro, apt-get, urpmi, rpm, ... ou seja lá qual for. Em geral, todas as distros modernas tem esses pacotes prontos.
Baixe e descompacte o código fonte de [1]. Um bom lugar para fazê-lo é em /usr/src . Entre nesse diretório.
Como dito anteriormente, a compilação do FreeRADIUS não foge ao famoso ./configure && make && make install, porém podemos ir um pouco além, já que vamos instalar sem empacotar, é legal que criemos uma árvore alternativa, objetivando não poluir a principal. Crie uma nova pasta na raíz, pode ser um /opt2 (em geral, o KDE usa o /opt...) ou um /freeradius. Fica a sua escolha, vou tomar como base o /opt2.
Se o ./configure ocorreu sem erros, siga adiante, caso contrário, e resolva os problemas do ./configure.
Se ocorrerem problemas na compilação e instalação, resolva-os. Caso contrário, siga em frente.
Nesse momento ele executará o daemon, e se tudo ocorrer OK, ele deverá produzir os certificados SSL com demora de alguns instantes, e se tudo der certo, ele não fechar inesperadamente, estará rodando em //foreground//.
%%[mylogin@mypc ~]$ /opt2/bin/radtest usuario1 senha1 127.0.0.1 0 testing123
No comando, substitua usuario1/senha1 por um usuário e uma senha do seu sistema.
Para começar você verá no arquivo, bem começo a entrada que libera para o IP 127.0.0.1 e para a senha testing123, aquela que usamos no exemplo anterior para testar o servidor. Apesar de liberar somente para a máquina local, comente tudo que está entre os { }; não vamos usar estas configurações.
secret = CHAVE_SECRETA
ENDEREÇO pode ser, uma classe rede, um //hostname//, um IP. Usaremos aqui o IP que AP utiliza na rede.
secret = senha_secreta
Sendo que 172.16.0.1 é o IP do meu roteador //wireless//.
Deletions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel. Use o gerenciador de pacotes da sua distro, apt-get, urpmi, rpm, .. ou seja lá qual for. Em geral, todas as distros modernas tem esses pacotes prontos.
Baixe o código fonte de [1], e descompacte-o. Um bom lugar para fazê-lo é em /usr/src . Entre nesse diretório.
Como dito anteriormente, a compilação do FreeRADIUS não foge ao famoso ./configure && make && make install, porém podemos ir um pouco além, já que vamos instalar sem empacotar, é legal que criemos uma árvores alternativa, objetivando não poluir a principal. Crie uma nova pasta na raíz, pode ser um /opt2 (em geral, o KDE usa o /opt...) ou um /freeradius. Fica a sua escolha, vou tomar como base o /opt2.
Se o configure ocorreu sem erros, siga adiante, caso contrário, e resolva os problemas do ./configure.
Se ocorrreu problemas na compilação e instalação, resolva-os. Caso contrário, siga em frente.
Nesse momento ele executará o daemon, e se tudo ocorrer OK, ele deverá produzir os certificados SSL, demorará alguns instantes, e se tudo der certo, ele não fechar inesperadamente e estará rodando em //foreground//.
%%[leonardo@lcc55 ~]$ /opt2/bin/radtest usuario1 senha1 127.0.0.1 0 testing123
No comando, substitua usuario1/senha1 por um usuario e uma senha do seu sistema.
Para começar você verá no arquivo, bem começo a entrada que libera pro IP 127.0.0.1 e pra senha testing123, aquela que usamos no exemplo anterior para testar o servidor. Apesar de liberar somente para a máquina local, comente tudo que está entre os { }, não vamos usar isso.
secret = CHAVE_SECRETA
ENDEREÇO pode ser, uma classe rede, um hostname, um IP. Usaremos aqui o IP que AP utiliza na rede.
secret = senha_secreta
Sendo que 172.16.0.1 é o IP do meu roteador wireless.


Revision [516]

Edited on 2009-01-29 15:09:26 by FelippeBeaklini
Additions:
Mas depois que entendemos as relações básicas, onde fica cada opção, fica mais fácil atacar o problema.
Compilar o FreeRADIUS não foge da regra geral ./configure && make && make install, porém, precisamos nos certificar que certas dependências serão preenchidas, caso contrário na hora da utilização perderemos algumas //features// imprescindíveis.
Ex.: Se você não tivermos as //"development libraries"// do openssl, mesmo tendo este instalado, não poderemos criar túneis TLS para proteger os dados.
Deletions:
Mas depois que entendemos o básico, onde fica cada coisa, fica bem melhor de atacar o problema.
Compilar o FreeRADIUS não foge da regra geral ./configure && make && make install, porém, precisamos nos certificar que certas dependências serão preenchidas, caso contrário na hora da utilização perderemos algumas //features// imprescíndiveis.
Ex.: Se você não tiver as //"development libraries"// do openssl, mesmo tendo este instalado, não poderemos criar tuneis TLS para proteger os dados.


Revision [418]

Edited on 2008-12-09 13:50:37 by LeoMarques
Additions:
Thank you Ivan Kalik for that wonderful table! =)
Deletions:
Thank you Ivan Kalik for that wondeful table! =)


Revision [417]

Edited on 2008-12-09 09:46:21 by LeoMarques
Additions:
Na NIS, ou do /etc/passwd, as senhas são armazenadas com hashs do tipo **unix crypt**, logo como demonstrado na tabela, as opções não são muitas. Utilizei PAP aqui.
Deletions:
Na NIS, ou do /etc/passwd, as senhas são armazenadas com hashs do tipo **unix crypt**, logo como demonstrado na tabela, as opções não são muitas :P hehe utilizei PAP aqui.


Revision [416]

Edited on 2008-12-09 09:41:06 by LeoMarques
Additions:
Na NIS, ou do /etc/passwd, as senhas são armazenadas com hashs do tipo **unix crypt**, logo como demonstrado na tabela, as opções não são muitas :P hehe utilizei PAP aqui.
Deletions:
Na NIS, ou seja no /etc/passwd, as senhas são armazenadas com hashs do tipo **unix crypt**, logo como demonstrado na tabela, as opções não são muitas :P hehe utilizei PAP aqui.


Revision [415]

Edited on 2008-12-09 09:39:31 by LeoMarques

No Differences

Revision [414]

Edited on 2008-12-09 09:38:49 by LeoMarques
Additions:
Eu estava tendo sérios problemas para entender que protocolo usar com usuários NIS, até que postei um email na lista oficial do FreeRADIUS, e recebi como resposta essa tabela. Foi simplesmente a melhor resposta que eu poderia obter =) Com ela fica bem claro que protocolo podemos usar, com cada hash.
Na NIS, ou seja no /etc/passwd, as senhas são armazenadas com hashs do tipo **unix crypt**, logo como demonstrado na tabela, as opções não são muitas :P hehe utilizei PAP aqui.
Mas você deve estar se perguntando: "PAP? Mas PAP não tem criptografia!", nesse hora que entra o TTLS, ou "Tunneled Transport Layer Security", que cria um tunel criptográfico entra o servidor radius e o cliente, não deixando que a senha seja transportada em texto plano.
Se você possui hashs de senha de outro tipo, como por exemplo NT, você poderá utilizar outros tipos de protocolos, de acordo com a sua necessidade, o FreeRADIUS é muito extensível.
Deletions:
Eu estava tendo sérios problemas para entender que protocolo usar com usuários NIS, até que postei um email na lista oficial do FreeRADIUS, e recebi como resposta essa tabela. Foi simplesmente a melhor resposta que eu poderia obter =)


Revision [413]

Edited on 2008-12-09 09:32:15 by LeoMarques
Additions:
</table>""
Eu estava tendo sérios problemas para entender que protocolo usar com usuários NIS, até que postei um email na lista oficial do FreeRADIUS, e recebi como resposta essa tabela. Foi simplesmente a melhor resposta que eu poderia obter =)
====Agradecimentos====
Thank you Ivan Kalik for that wondeful table! =)
Deletions:
</table>
""


Revision [412]

Edited on 2008-12-09 09:28:35 by LeoMarques
Additions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples, edite o arquivo **/etc/ld.so.conf** e adicione a linha:
====Entendo que protocolo usar X Tipo de criptografia (ou hash)====
Deletions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples, edite o arquivo ''/etc/ld.so.conf'' e adicione a linha:
====Entendo que protocolo usar X Tipo de criptografia====


Revision [411]

Edited on 2008-12-09 09:26:11 by LeoMarques
Additions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples, edite o arquivo ''/etc/ld.so.conf'' e adicione a linha:
Deletions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples, edite o arquivo /etc/ld.so.conf e adicione a linha:


Revision [410]

Edited on 2008-12-09 09:14:44 by LeoMarques
Additions:
1) [[http://deployingradius.com/ Deploying RADIUS:The book]]


Revision [409]

Edited on 2008-12-09 09:13:34 by LeoMarques
Additions:
====Entendo que protocolo usar X Tipo de criptografia====
""<table border=1>
<th>
<td width="12%"><font color="#4088b8"><strong>Clear-text</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>NT hash<br />(<a href="oracles.html">ntlm_auth</a>)</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>MD5 hash</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>Salted MD5 hash</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>SHA1 hash</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>Salted SHA1 hash</strong></font></td>
<td width="12%"><font color="#4088b8"><strong>Unix Crypt</strong></font></td>
</th>
<tr>
<tr><td><font color="#4088b8"><strong>PAP</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
</tr>
<tr><td><font color="#4088b8"><strong>CHAP</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>Digest</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>MS-CHAP</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>PEAP</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>EAP-MSCHAPv2</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>Cisco LEAP</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>EAP-GTC</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#00ff00" align="center">√</td>
</tr>
<tr><td><font color="#4088b8"><strong>EAP-MD5</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
<tr><td><font color="#4088b8"><strong>EAP-SIM</strong></font></td>
<td bgcolor="#00ff00" align="center">√</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
<td bgcolor="#ff0000" align="center">x</td>
</tr>
</table>
""


Revision [408]

Edited on 2008-12-09 09:03:08 by LeoMarques
Additions:
1) [[http://ubuntuforums.org/showthread.php?s=c634dd1d057317a7da2edb1cf8a8f359&t=478804 HOWTO:FreeRadius+EAP/PEAP]]


Revision [407]

Edited on 2008-12-09 09:01:56 by LeoMarques
Additions:
ENDEREÇO pode ser, uma classe rede, um hostname, um IP. Usaremos aqui o IP que AP utiliza na rede.
Deletions:
ENDEREÇO pode ser, uma classe rede, um hostname, um IP.


Revision [406]

Edited on 2008-12-09 09:00:51 by LeoMarques
Additions:
1) [[http://tldp.org/HOWTO/8021X-HOWTO/index.html 802.1X Port-Based Authentication HOWTO]] - Desatualizado, mas tem um bom esquema de como funciona a autenticação por RADIUS
Deletions:
1) [[http://tldp.org/HOWTO/8021X-HOWTO/index.html 802.1X Port-Based Authentication HOWTO]]


Revision [405]

Edited on 2008-12-09 09:00:09 by LeoMarques
Additions:
1) [[http://tldp.org/HOWTO/8021X-HOWTO/index.html 802.1X Port-Based Authentication HOWTO]]


Revision [404]

Edited on 2008-12-08 16:52:08 by LeoMarques
Additions:
Salve as configurações e pronto. Assim, todas as tentativas de associação (conexão) que ele receber, automaticamente repassará a autenticação para o servidor RADIUS.
Deletions:
Salve as configurações e pronto.


Revision [403]

Edited on 2008-12-08 16:49:44 by LeoMarques
Additions:
Salve as configurações e pronto.


Revision [402]

Edited on 2008-12-08 16:48:58 by LeoMarques
Additions:
secret = senha_secreta
Esse é um pedaço de um screenshot da janela de configuração do meu AP DLINK DI-524, mas as opções não devem variar muito entre os APs
{{image url="files/freeradius/802.png" title="text" alt="autenticação 802.1x"}}
Deletions:
secret = chave_secreta


Revision [401]

Edited on 2008-12-08 16:38:32 by LeoMarques
Additions:
====Configurando o Access Point para autenticar no FreeRADIUS====
Deletions:
Simplesmente adicione uma entrada assim:


Revision [400]

Edited on 2008-12-08 16:37:36 by LeoMarques
Additions:
Para abrir acesso no AP Wi-FI, eu adicionei a seguinte entrada no **clients.conf**:
%%client 172.16.0.1 {
Sendo que 172.16.0.1 é o IP do meu roteador wireless.
Deletions:
Agora vamos liberar o acesso AP Wi-Fi, criando uma nova entrada no **clients.conf**:
%%client 172.16.0.0/24 {


Revision [399]

Edited on 2008-12-08 16:35:14 by LeoMarques
Additions:
nastype = other
Deletions:
nastype = other


Revision [398]

Edited on 2008-12-08 16:33:55 by LeoMarques
Additions:
DIVERSOS pode ser cisco, computone, livingston, max40xx, multitech, netserver, pathras, patton, portslave, tc, usrhiper, other.
Para nós, other está OK.%%
Deletions:
DIVERSOS cisco, computone, livingston, max40xx, multitech, netserver, pathras, patton, portslave, tc, usrhiper, other
%%


Revision [397]

Edited on 2008-12-08 16:31:59 by LeoMarques
Additions:
secret = CHAVE_SECRETA
shortname = NOME_DA_PORTA
nastype = DIVERSOS
NOME_DA_PORTA auto-explicativo, não?
DIVERSOS cisco, computone, livingston, max40xx, multitech, netserver, pathras, patton, portslave, tc, usrhiper, other
Deletions:
secret = secret_key
shortname = AP_AUTH
type = other


Revision [396]

Edited on 2008-12-08 16:28:34 by LeoMarques
Additions:
As entradas de configuração nesse arquivo tem um formato bem simples, algo como:
%%client ENDEREÇO {
secret = secret_key
shortname = AP_AUTH
type = other
}
ENDEREÇO pode ser, uma classe rede, um hostname, um IP.
%%


Revision [395]

Edited on 2008-12-08 16:25:55 by LeoMarques
Additions:
Para começar você verá no arquivo, bem começo a entrada que libera pro IP 127.0.0.1 e pra senha testing123, aquela que usamos no exemplo anterior para testar o servidor. Apesar de liberar somente para a máquina local, comente tudo que está entre os { }, não vamos usar isso.
Agora vamos liberar o acesso AP Wi-Fi, criando uma nova entrada no **clients.conf**:
%%client 172.16.0.0/24 {
secret = chave_secreta
shortname = AP_WiFI
nastype = other
}%%
Deletions:
O primeiro arquivo a ser alterado é o **/opt2/etc/raddb/clients.conf**, nele temos que permitir o acesso do AP ao servidor de RADIUS.


Revision [394]

Edited on 2008-12-08 16:19:04 by LeoMarques
Additions:
No comando, substitua usuario1/senha1 por um usuario e uma senha do seu sistema.
Se você obteve **rad_recv: Access-Accept**, parabéns seu servidor RADIUS está de pé e autenticando OK.
Primeiro vamos editar o arquivo **/opt2/etc/raddb/clients.conf**, onde são armazenados os dispositivos que podem ser autenticados no servidor RADIUS.


Revision [393]

Edited on 2008-12-08 16:15:32 by LeoMarques
Additions:
Agora, usaremos o utilitário /opt2/bin/radtest para testar e verificar se é possível autenticar sem problemas:
%%[leonardo@lcc55 ~]$ /opt2/bin/radtest usuario1 senha1 127.0.0.1 0 testing123
Sending Access-Request of id 52 to 127.0.0.1 port 1812
User-Name = "usuario1"
User-Password = "senha1"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=52, length=20%%


Revision [392]

Edited on 2008-12-08 16:09:49 by LeoMarques
Additions:
====Teste inicial do servidor====
O FreeRADIUS já vem com uma conta inicial de teste, para você testar e ver se o seu servidor esta rodando ok, logo é bacana fazer esse teste e ver se ele foi compilado e instalado corretamente.
Rode o daemon do RADIUS com o comando:
%%./opt2/sbin/radiusd -X%%
Nesse momento ele executará o daemon, e se tudo ocorrer OK, ele deverá produzir os certificados SSL, demorará alguns instantes, e se tudo der certo, ele não fechar inesperadamente e estará rodando em //foreground//.
A parte boa desse processo é a seguinte, o FreeRADIUS vem praticamente pronto para ser usado, mas existem diversas opções que podem ser desabilitadas para aumentar a segurança do seu servidor.
O primeiro arquivo a ser alterado é o **/opt2/etc/raddb/clients.conf**, nele temos que permitir o acesso do AP ao servidor de RADIUS.
Simplesmente adicione uma entrada assim:


Revision [391]

Edited on 2008-12-08 16:02:43 by LeoMarques
Additions:
====Configurando o FreeRADIUS====


Revision [390]

Edited on 2008-12-08 15:59:20 by LeoMarques
Additions:
======não está pronto!======


Revision [389]

Edited on 2008-12-08 15:57:57 by LeoMarques
Additions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples, edite o arquivo /etc/ld.so.conf e adicione a linha:
%%/opt2/lib%%
e depois para atualizar a base de dados das bibliotecas, execute:
%%ldconfig%%
Deletions:
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples


Revision [388]

Edited on 2008-12-08 15:55:11 by LeoMarques
Additions:
Ele disse "não vou fazer o módulo do kerberos, pois não achei os arquivos de cabeçalho dele!". Tudo bem, não quero nada com kerberos... Mas e se fosse o openssl? Então seria um problema.
Deletions:
Ele disse "não vou fazer o módulo do kerberos, pois não achei os arquivos de cabeçalho dele!". Tudo bem, não quero nada com kerberos... Mas e se fosse o openssl por exemplo? Então seria um problema.


Revision [386]

Edited on 2008-12-08 10:52:50 by LeoMarques
Additions:
more information, such as the ld(1) and ld.so(8) manual pages.%%
Deletions:
more information, such as the ld(1) and ld.so(8) manual pages.
%%


Revision [385]

Edited on 2008-12-08 10:52:27 by LeoMarques
Additions:
%%Libraries have been installed in:
/opt2/lib
If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
- add LIBDIR to the `LD_LIBRARY_PATH' environment variable
during execution
- add LIBDIR to the `LD_RUN_PATH' environment variable
during linking
- use the `-Wl,--rpath -Wl,LIBDIR' linker flag
- have your system administrator add LIBDIR to `/etc/ld.so.conf'
See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
%%
Deletions:
%%%%


Revision [384]

Edited on 2008-12-08 09:50:02 by LeoMarques
Additions:
Ele disse "não vou fazer o módulo do kerberos, pois não achei os arquivos de cabeçalho dele!". Tudo bem, não quero nada com kerberos... Mas e se fosse o openssl por exemplo? Então seria um problema.
Deletions:
Ele disse "não vou fazer o módulo do kerberos, pois não achei os arquivos de cabeçalho dele!". Tudo bem, não quero nada com kerberos... Mas e se fosse o openssl por exemplo? Então teríamos um problema.


Revision [383]

Edited on 2008-12-08 09:49:01 by LeoMarques
Additions:
%%./configure --prefix=/opt2/ --with-openssl | grep WARNING%%
Por que utilizar o "| grep WARNING" ? Simples, para ficar mais fácil de verificar se nada de importante foi desabilitado, pois a lista passa rápido.
Por exemplo, uma das minhas saídas foi:
%%configure: WARNING: silently not building rlm_krb5.
configure: WARNING: FAILURE: rlm_krb5 requires: krb5.h krb5.%%
Ele disse "não vou fazer o módulo do kerberos, pois não achei os arquivos de cabeçalho dele!". Tudo bem, não quero nada com kerberos... Mas e se fosse o openssl por exemplo? Então teríamos um problema.
Deletions:
%%./configure --prefix=/opt2/ --with-openssl%%


Revision [382]

Edited on 2008-12-08 09:42:39 by LeoMarques

No Differences

Revision [381]

Edited on 2008-12-08 09:42:11 by LeoMarques
Additions:
Se ocorrreu problemas na compilação e instalação, resolva-os. Caso contrário, siga em frente.
====Novo diretório de libraries====
Se você se assustou com esses warnings:
%%%%
Como foi criada uma nova raíz para o FreeRADIUS, o sistema não vê as novas libraries, logo temos que fazê-lo enxergar esses arquivos, é simples


Revision [380]

Edited on 2008-12-08 09:36:29 by LeoMarques
Additions:
%% make && make install %%
Deletions:
%% make && make install &&


Revision [379]

Edited on 2008-12-08 09:36:16 by LeoMarques
Additions:
%%./configure --prefix=/opt2/ --with-openssl%%
Se tiver dúvidas nos parâmetros do ./configure, ./configure --help é o que você precisa.
Se o configure ocorreu sem erros, siga adiante, caso contrário, e resolva os problemas do ./configure.
Compile e instale o source:
%% make && make install &&
Deletions:
%%./configure --prefix=/opt2/%%


Revision [378]

Edited on 2008-12-08 09:32:53 by LeoMarques
Additions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel. Use o gerenciador de pacotes da sua distro, apt-get, urpmi, rpm, .. ou seja lá qual for. Em geral, todas as distros modernas tem esses pacotes prontos.
Deletions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel. Use o gerenciador de pacotes da sua distro, apt-get, urpmi, rpm... ou seja lá qual for.


Revision [377]

Edited on 2008-12-08 09:31:17 by LeoMarques
Additions:
Acredito que esse tutorial seja de escopo para usuários médios/avançados, não vou ficar explicando coisas básicas, por exemplo descompactar um tarball. Se você tem dúvidas, lembre-se: GIYF - Google Is Your Friend... Para não usar a outra versão mais deselegante. hehehe
Deletions:
Acredito que esse tutorial seja de escopo para usuários médios/avançados, não vou ficar explicando coisas básicas. Se você tem dúvidas nelas, lembre-se: GIYF - Google Is Your Friend... Para não usar a outra versão mais deselegante. hehehe


Revision [376]

Edited on 2008-12-08 09:29:50 by LeoMarques
Additions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel. Use o gerenciador de pacotes da sua distro, apt-get, urpmi, rpm... ou seja lá qual for.
Baixe o código fonte de [1], e descompacte-o. Um bom lugar para fazê-lo é em /usr/src . Entre nesse diretório.
Como dito anteriormente, a compilação do FreeRADIUS não foge ao famoso ./configure && make && make install, porém podemos ir um pouco além, já que vamos instalar sem empacotar, é legal que criemos uma árvores alternativa, objetivando não poluir a principal. Crie uma nova pasta na raíz, pode ser um /opt2 (em geral, o KDE usa o /opt...) ou um /freeradius. Fica a sua escolha, vou tomar como base o /opt2.
%%./configure --prefix=/opt2/%%
Deletions:
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel.


Revision [375]

Edited on 2008-12-08 09:22:50 by LeoMarques
Additions:
Acredito que esse tutorial seja de escopo para usuários médios/avançados, não vou ficar explicando coisas básicas. Se você tem dúvidas nelas, lembre-se: GIYF - Google Is Your Friend... Para não usar a outra versão mais deselegante. hehehe
====Instalando as dependências====
Primeiros instale as seguintes dependências, em geral esses pacotes ou terminam com -dev ou, como no caso do MDV, -devel.
- libopenssl-devel
-


Revision [374]

Edited on 2008-12-08 09:17:02 by LeoMarques
Additions:
Ex.: Se você não tiver as //"development libraries"// do openssl, mesmo tendo este instalado, não poderemos criar tuneis TLS para proteger os dados.
Deletions:
Ex.: Se você não tiver as //"development libraries"// do openssl, mesmo tem este instalado, não poderemos criar tuneis TLS para proteger os dados.


Revision [373]

Edited on 2008-12-08 09:16:25 by LeoMarques
Additions:
Também vou dar algumas dicas para não misturar os arquivos do FreeRADIUS com o resto do sistema, e também para que fique fácil sua remoção caso seja necessário.


Revision [372]

Edited on 2008-12-08 09:14:39 by LeoMarques
Additions:
====Compilando o FreeRADIUS====
Compilar o FreeRADIUS não foge da regra geral ./configure && make && make install, porém, precisamos nos certificar que certas dependências serão preenchidas, caso contrário na hora da utilização perderemos algumas //features// imprescíndiveis.
Ex.: Se você não tiver as //"development libraries"// do openssl, mesmo tem este instalado, não poderemos criar tuneis TLS para proteger os dados.


Revision [371]

Edited on 2008-12-08 09:10:48 by LeoMarques
Additions:
=====Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi utilizando uma base de usuários NIS=====
Deletions:
======Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi utilizando uma base de usuários NIS======


Revision [370]

Edited on 2008-12-08 09:10:36 by LeoMarques
Additions:
======Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi utilizando uma base de usuários NIS======
Na minha rede, fiz testes utilizando Mandriva 2008.0, apesar de eu não gostar dessa distribuição, foi a que eu tive de usar. Infelizmente, o FreeRADIUS que tinha disponível nos sources oficiais do MDV era muito antigo em relação a versão atualmente disponibilizada no site oficial [1] desse servidor, então preferi baixar o source e compilá-lo.
Deletions:
======Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi======


Revision [369]

Edited on 2008-12-08 09:08:04 by LeoMarques
Additions:
====Referências====
1) Site oficial do FreeRADIUS [[http://freeradius.org/]]


Revision [368]

Edited on 2008-12-08 09:07:03 by LeoMarques
Additions:
======Configurando servidor FreeRADIUS para autenticar clientes de um access point wi-fi======
====Introdução====
Esse processo não é complicado em si, porém como o FreeRADIUS é **muito** extensível, ficamos perdidos nas inúmeras opções, protocolos, hashs e arquivos de configuração.
Mas depois que entendemos o básico, onde fica cada coisa, fica bem melhor de atacar o problema.
Deletions:
======Configurando servidor FreeRadius para autenticar clientes de access point======


Revision [367]

Edited on 2008-12-08 09:02:23 by LeoMarques
Additions:
======Configurando servidor FreeRadius para autenticar clientes de access point======

Deletions:
======Configurando servidor FreeRadius======


Revision [366]

The oldest known version of this page was created on 2008-12-08 09:00:38 by LeoMarques
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki