Installation & Konfiguration

Radius-Server installieren

In den Paketquellen von Linuxmuster.net gibt es das Paket linuxmuster-freeradius. Installieren Sie das Paket (als root) mit

# apt-get install linuxmuster-freeradius

Firewall konfigurieren

Nun muss die Firewall konfiguriert werden, damit die Anfragen auch auf dem Server ankommen (UDP, Port 1812). Dazu bearbeitet man die Datei /etc/linuxmuster/allowed_ports und fügt in der Zeile „udp“ den entsprechenden Port hinzu.

...
udp domain, ... , 1812

Damit die Änderungen auf der Firewall (IPFire) wirksam werden, geben Sie bitte folgenden Befehl ein:

# service linuxmuster-base restart

Falls Sie eine andere Firewall als die empfohlene Firewalllösung (IPFire) verwenden, müssen Sie die entsprechende Firewallregel selbst einrichten!

Radius-Servers testen

Das Programm radtest wird über das Paket freeradius-utils installiert:

# apt-get install linuxmuster-freeradius

In der Datei /etc/freeradius/users in der folgenden Zeile das Kommentarzeichen (#) entfernen.

steve  Cleartext-Password := "testing"

Als nächstes überprüft man, ob localhost in der Datei /etc/freeradius/clients eingetragen ist. Dieser Eintrag kann nach dem Test wieder entfernt werden.

client localhost {
   ipaddr = 127.0.0.1
   secret = testing123
}

Nun kann man, nach einem Neustart des Radius-Servers, die Authentifizierung für diesen User testen.

# service freeradius restart
# radtest steve testing 127.0.0.1:1812 10 testing123

Als Ausgabe sollte man folgendes erhalten:

 # radtest steve testing 127.0.0.1:1812 10 testing123
 Sending Access-Request of id 34 to 127.0.0.1 port 1812
        User-Name = "steve"
        User-Password = "testing"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=34, length=20

Wenn man eine ähnliche Ausgabe erhält, kann nun der Zugriff auf das LDAP-Verzeichnis eingerichtet werden, damit man sich mit seinem Benutzernamen und Passwort der linuxmuster.net anmelden kann. Dazu muss der Client (Access Point, Captive Portal Server, Wireless Controller) in die Datei /etc/freeradius/clients eingetragen werden. Bitte passen Sie den Client Namen, die IP-Adresse und das Passwort entsprechend an.

client captivePortal {
   ipaddr = 10.16.1.254
   secret = geheim
}

Radius-Server konfigurieren

Für die Authentifizierung mit einem Radius-Server gibt es verschiedene Protokolle, welche festlegen, wie die Übertragung und Authentifizierung abläuft. Dieses kann man in der Datei /etc/freeradius/eap.conf festlegen. Überprüfen Sie folgende Einstellungen und entfernen Sie, falls notwendig, die Kommentarzeichen.

eap {
   ...
   default_eap_type = peap
   ...
}

...
peap {
   ...
   default_eap_type = mschapv2
   ...
}

MD5 kommt als Protokoll nicht in Frage, da die Passwörter nicht als MD5 im LDAP gespeichert sind!

Überprüfen Sie weiterhin den Parameter auto_header in der Datei /etc/freeradius/radiusd.conf.

pap {
   auto_header = yes
}