Перейти до змісту

Сервер FreeRADIUS 802.1X

Вступ

RADIUS — це протокол AAA (автентифікація, авторизація та облік) для керування доступом до мережі. FreeRADIUS — це де-факто сервер RADIUS для Linux та інших Unix-подібних систем.

Передумови та припущення

Нижче наведено мінімальні вимоги до цієї процедури:

  • Можливість запускати команди від імені користувача root або використовувати sudo для підвищення привілеїв
  • Клієнт RADIUS, наприклад маршрутизатор, комутатор або точка доступу Wi-Fi

Встановлення FreeRADIUS

Ви можете встановити FreeRADIUS зі сховищ dnf:

dnf install -y freeradius

Налаштування FreeRADIUS

Після встановлення пакетів вам спочатку потрібно створити сертифікати шифрування TLS для FreeRADIUS:

cd /etc/raddb/certs
./bootstrap

Згодом вам потрібно буде додати користувачів для автентифікації. Відкрийте файл users:

cd ..
vi users

У файл вставте наступне:

user    Cleartext-Password := "password"

Замініть user і password на потрібне ім'я користувача та пароль.

Пам’ятайте, що пароль не хешується, тож якщо зловмисник отримає файл users, він може отримати неавторизований доступ до вашої захищеної мережі.

Ви також можете використовувати хешований пароль MD5 або хешований Crypt. Щоб згенерувати хешований пароль MD5, виконайте:

echo -n password | md5sum | awk '{print $1}'

Замініть password на потрібний пароль.

Ви отримаєте хеш 5f4dcc3b5aa765d61d8327deb882cf99. У файлі users замість цього вставте наступне:

user    MD5-Password := "5f4dcc3b5aa765d61d8327deb882cf99"

Вам також потрібно буде визначити клієнтів. Це зроблено для запобігання неавторизованому доступу до нашого сервера RADIUS. Відредагуйте файл clients.conf:

vi clients.conf

Вставте наступне:

client 172.20.0.254 {
        secret = secret123
}

Замініть 172.20.0.254 і secret123 на IP-адресу та секретне значення, які використовуватимуть клієнти. Повторіть це для інших клієнтів.

Увімкнення FreeRADIUS

Після початкового налаштування ви можете запустити radiusd:

systemctl enable --now radiusd

Налаштування RADIUS на комутаторі

Після налаштування сервера FreeRADIUS ви налаштуєте клієнт RADIUS на комутаторі MikroTik автора як дротовий клієнт 802.1X:

/radius
add address=172.20.0.12 secret=secret123 service=dot1x
/interface dot1x server
add interface=combo3

Замініть 172.20.0.12 на IP-адресу сервера FreeRADIUS, а secret123 — на встановлений раніше секрет.

Author: Neel Chauhan

Contributors: Steven Spencer