Академический Документы
Профессиональный Документы
Культура Документы
org
http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS
Linux:Configuration de FreeRADIUS
Un article de WIKI.minetti.org.
Sommaire
1 But 2 tape prliminaire 3 Installation 4 Configuration au niveau du serveur LDAP 4.1 Ajout du schma RADIUS 4.2 Cration du compte pour l'accs au LDAP 4.3 Test 5 Configuration de FreeRADIUS 6 Paramtrage des utilisateurs
But
Certains routeurs ont besoin d'une base d'utilisateurs pour, par exemple, grer les connexions VPN. La plupart d'entre-eux proposent: une base d'utilisateurs interne, ou un accs un serveur RADIUS. L'accs un serveur RADIUS permet au routeur de se connecter une base d'utilisateurs externe install sur un serveur du rseau. L o a devient trs intressant c'est que le serveur RADIUS est capable de passer la main au serveur LDAP. Ainsi le serveur RADIUS nous permettrait d'utiliser les comptes d'utilisateurs du LDAP pour se connecter au VPN.
tape prliminaire
Avant de commencer, il est impratif: de disposer d'un serveur LDAP, et d'avoir procd l'installation d'OpenSSL.
Installation
Taper la commande suivante pour installer FreeRADIUS (http://freeradius.org/) sur une CentOS/RedHat/Fedora:
yum install freeradius freeradius-utils freeradius-ldap
1 sur 4
03/04/2013 11:48
http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS
Ajouter la ligne suivante dans le fichier /etc/openldap/schema_convert.conf pour ajouter le schma RADIUS:
include /etc/openldap/schema/radius.schema
Dterminer le numro de ligne qui vient d'tre ajoute dans le fichier en commenant par 0: dans notre cas se sera 13. Excuter les commandes suivantes pour convertir notre fichier .schema en .ldif:
enlever le {13} prsent sur les 3 premires lignes pour qu'elles ressemblent ceci:
dn: cn=radius objectClass: olcSchemaConfig cn: radius
SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=radius,cn=schema,cn=config"ldapadd -Y EXTERNAL -H ldapi:/// -f cn\=radius.ldif
2 sur 4
03/04/2013 11:48
http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS
REMARQUE: Ne jamais mettre le mot de passe en clair (userPassword). Utiliser la commande suivante pour chiffrer le mot de passe:
slappasswd
Test
Pour terminer vrifier l'accs en tapant la commande suivante:
ldapsearch -vx -ZZ -D "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org" -W "(objectClass=*)"
Configuration de FreeRADIUS
Modifier le fichier /etc/raddb/modules/ldap pour qu'il ressemble ceci:
ldap { server = "ldap.srv.minetti.org" identity = "cn=radius,ou=sysaccount,ou=localnet,dc=minetti,dc=org" password = ...... basedn = "dc=minetti,dc=org" filter = "(&(uid=%{%{Stripped-User-Name}:-%{User-Name}})(!(loginShell=/bin/false)))" base_filter = "(objectclass=radiusprofile)" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = yes cacertdir certfile keyfile require_cert } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no keepalive { idle = 60 probes = 3 interval = 3 } } = = = = /etc/openldap/cacerts /etc/pki/tls/certs/amon.pem /etc/pki/tls/private/amon.key "demand"
Modifier le fichier /etc/raddb/sites-enabled/default et d-commenter la ligne ldap dans la rubrique authorize. Lancer le serveur RADIUS en mode debug:
radiusd -X -xxx
3 sur 4
03/04/2013 11:48
http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS
User-Name = "user" User-Password = "password" NAS-IP-Address = 192.168.1.106 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=186, length=20
Pour finir, ne pas oublier de faire en sorte que le dmon s'excute automatiquement avec la commande suivante:
ntsysv
Rcupre de http://www.minetti.org/wiki/Linux:Configuration_de_FreeRADIUS
4 sur 4
03/04/2013 11:48